6

Я как-то плохо знаком с методами шифрования дисков в Linux, но у меня есть основные понятия о шифровании. Вот мои условия:

  • Мне нужно иметь "полное шифрование диска", включая «/», а не просто «/home».
  • Мне не нужно /home на отдельном разделе, я предпочитаю только одну "/" и поменять местами
  • Мне нужен suspend /hibernate для работы (да, я знаю, что suspend небезопасен, но он мне нужен, чтобы работать в редких случаях, когда люди не украдут мой ноутбук)
  • Я хочу сделать это с помощью современных установщиков дистрибутива Linux, поэтому мой выбор в основном LVM
  • Я знаю, мне нужен незашифрованный / загрузочный раздел

Но дело в том, что с помощью установщиков дистрибутива у меня есть возможность зашифровать физический том (PV), а также зашифровать логические тома (LV) внутри PV.

  • Какой из них лучше?
  • Если я только что зашифровал физический том, я в безопасности? Или он просто шифрует какие-то метаданные (например, таблицу, содержащую указатели на внутренние разделы), а не файловые системы внутри нее?
  • Есть ли случай, когда я захочу иметь PV-шифрование + LV-шифрование? Объясните.

У LVM есть много разных абстракций (PV, VG, LV, PE), я боюсь, что, зашифровав что-то, я мог бы только зашифровать какую-то таблицу метаданных, а не фактическое содержимое моих файлов. Я пытался найти это в Google, но в руководстве обычно объясняется, как форматировать разделы, но не детали, которые я спрашиваю. У меня такое ощущение, что люди просто хотят набрать какой-нибудь программный пароль, даже если они не знают, что на самом деле шифруется. Инсталляторы Linux Distribution также не помогают (единственный, кто заботится о записи случайных файлов на диск перед шифрованием, - это Debian!).

Что я сделал:

  • Используя установщик OpenSuse, я создал физический раздел на своем диске и отметил его как "зашифрованный". Затем я использовал его для создания группы LVM и внутри нее я создал незашифрованные / и подкачки. Это безопасно?

Я все еще жду, чтобы закончить установку. Мне нужно выяснить, как попытаться сломать его после.

Заранее спасибо.

1 ответ1

3

Какой из них лучше?

Они оба используют одну и ту же технологию. Если вы зашифруете физический том, то все внутри LVM будет зашифровано. Если вы хотите / хотите, чтобы что-то не было зашифровано на томе LVM, вам нужно оставить настройку шифрования на логических томах.

Я боюсь, что, зашифровывая что-то, я могу зашифровать только какую-то таблицу метаданных, а не фактическое содержимое моих файлов.

Практически все установщики в основном настраивают громкость DM-Crypt с помощью LUKS. Это зашифровывает содержимое всего раздела. Тогда довольно часто настраивают LVM в зашифрованном томе, чтобы предоставить пользователю гибкость в настройке разделов по мере необходимости.

Есть ли случай, когда я захочу иметь PV-шифрование + LV-шифрование?

Я полагаю, если бы вы были чрезвычайно параноиком, вы могли бы хотеть иметь свой стандартный том с низким уровнем безопасности, который содержит ОС и ваши стандартные файлы. Тогда вы можете спрятать ваши файлы «супер-супер-двойной-плюс-хороший-сверхсекретный» в отдельном зашифрованном томе, который вы монтируете только по мере необходимости. Если бы вы монтировали оба тома при загрузке, тогда это вообще не имело бы никакого смысла, вы бы просто имели накладные расходы на зашифрованные данные дважды, и не получили бы реальной выгоды. Если вы настроили что-то подобное, должно быть совершенно очевидно, что вам потребуется установить совершенно разные ключи / пароли для внутреннего тома.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .