6

Я рассматривал различные альтернативы, которые у меня есть (например, шифрование ext4), но я думаю, что все они уязвимы для root, чтобы просто войти в мою домашнюю учетную запись и посмотреть, что там хранится, что очень легко сделать, когда кто-то получает доступ к компьютер.

Я ищу способ сделать мои файлы недоступными, даже для root, даже если кто-то возьмется за голое железо. Я готов рискнуть потерять свои данные, если я забуду ключ, это не проблема, это на самом деле желательно.

2 ответа2

5
  • eCryptFS может зашифровать вашу домашнюю папку (и подпапки) и автоматически расшифровывать с вашей парольной фразой входа - root не может просто изменить вашу парольную фразу, ему нужна ваша реальная пароль. Сценарий / инструмент ecryptfs-migrate-home может зашифровать существующий дом, или многие дистрибутивы могут зашифровать дом при создании нового пользователя. Он доступен для большинства дистрибутивов, производных Debian, Mint и Ubuntu, Arch, Gentoo и т.д., И может свободно увеличивать его размер.

    Или же он может использовать только одну зашифрованную " личную " папку с помощью ecryptfs-setup-private

  • EncFS также шифрует папку, но может потребоваться дополнительная настройка для безопасного автоматического дешифрования.

  • LUKS или обычный dm-crypt использует файл или устройство-контейнер фиксированного размера, который не так просто разворачивать, как в описанных выше файловых решениях, но он также не раскрывает слишком много информации (номер файла и приблизительный размер).

  • TrueCrypt или производные работают аналогично LUKS

  • Многие дистрибутивы также могут быть установлены с "полным шифрованием диска" (обычно с использованием LUKS & LVM), что требует правильной парольной фразы, введенной при загрузке. Это хорошее решение для однопользовательского ("персонального") компьютера, который не нуждается в полной перезагрузке, но на многопользовательском компьютере он будет "расшифрован" и для всех остальных пользователей.

2

Вы можете использовать dm-crypt для этого. Вам необходимо создать пустой файл, который будет использоваться в качестве устройства хранения. Вы можете создать файл определенного размера с помощью dd или, например, fallocate:

fallocate -l 512M /home/user/cryptedDevice` 
dd if=/dev/zero of=/home/user/cryptedDevice bs=1M count=512

Это создаст файл 512 МБ в вашем домашнем каталоге с именем cryptedDevice. Затем вы можете установить luks поверх этого файла. cryptsetup -y luksFormat /home/user/cryptedDevice С помощью Luks вы можете легко изменить размер контейнера и т.д.

Чтобы открыть зашифрованный файл, вы можете сделать: cryptsetup luksOpen /home/user/cryptedDevice someDeviceName

Затем вам нужно отформатировать этот раздел в файловой системе: mkfs.ext4 -j /dev/mapper/someDeviceName

И после этого вы можете просто смонтировать это устройство в папку: mount /dev/mapper/someDeviceName /mnt/ .

Эталонный цифровой океан

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .