2

В течение некоторого времени я успешно использовал полнодисковое шифрование в Linux, но я хотел бы избежать дополнительного уровня сложности, который он добавляет, например, сложность резервного копирования / восстановления системы, отсутствие поддержки TRIM для SSD, и т.п. В идеале, я бы просто зашифровал каждый каталог (например, «Документы»), который содержит конфиденциальные данные.

Как однопользовательский компьютер, я не особо беспокоюсь о том, что root может увидеть смонтированные данные. Я беспокоюсь только о том, чтобы кто-то взломал и ушел с оборудованием и имел доступ к данным.

У рассматриваемой машины есть 16 ГБ оперативной памяти и работает твердотельный накопитель, поэтому у меня нет раздела подкачки. Если приложению некуда поменяться, обычно мне не нужно беспокоиться о том, что оно записывается в какое-либо незащищенное / незашифрованное место.

Мой вопрос заключается в том, стоит ли мне беспокоиться о других каталогах, в которых приложение может временно хранить файлы. Например, стоит ли мне пытаться зашифровать каталог '/tmp'?

1 ответ1

1

Вы сказали: «У меня вопрос, стоит ли мне беспокоиться о других каталогах, где приложение решает временно хранить файлы».

Ответ в том, что это зависит от того, насколько ты параноик. На самом деле невозможно очень хорошо ответить на ваш вопрос. Я полагаю, именно поэтому ранее не было ответа. Тем не менее, я попытаюсь ответить ...

Поскольку вы сказали, что полное шифрование диска не стоит для вас сложности, то я считаю, что ваши потребности (только шифрование файлов в конфиденциальных каталогах) могут быть удовлетворены чем-то вроде EncFS. Смотрите этот ответ:

Вот ваш ответ: https://superuser.com/a/182221

Что касается /tmp, храните его в памяти, монтируя его как tmpfs, как обсуждалось в этом ответе. И не беспокойся ни о чем другом. Если этого недостаточно для вас, вернитесь к полному шифрованию диска.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .