Какая-либо причина зашифрованного/?
В первую очередь, стычка с зашифрованным корневым и ранним пространством пользователя обычно уже обрабатывается Вашим распределением (насколько я знаю Fedora, Debian, Ubuntu и поддержку OpenSUSE зашифрованный корень из поля). Это означает, что Вы не должны заботиться о самой установке.
Одна причина шифрования / состоит в том, чтобы только быть уверена, что Вы не пропускаете информации вообще. Думайте о программах, пишущий временные данные в/tmp, файлы журнала, содержащие уязвимую информацию как имя пользователя/пароли в/var/log или конфигурационных файлах, содержащих учетные данные как пароль в/etc/fstab или некоторые команды в истории оболочки пользователя root.
Используя LVM вместо разделов обладает одним большим преимуществом, можно легко изменить размер/переименовать/удалить логических томов без потребности повторно разделить диск сам, это просто более удобно, чем использование разделов (GPT или MBR)
-
1Для меня LVM всегда был фактическим стандартом, он предлагает такую гибкость по традиционному разделению особенно в мультизагрузочной среде. Также, пока я уже изучил, как использовать initramfs-инструменты и mkinitcpio, я мог бы также просто изучить любой другой ramfs инструмент, который должен предложить некоторый экзотический дистрибутив. :D – nikitautiu 17.05.2012, 20:42
-
2@vitiv только для справки initramfs-оснащает, имеют превосходную cryptoroot интеграцию, просто устанавливают cryptsetup, создают appropiate/etc/crypttab, корректируют/etc/fstab, и Вы сделаны. – Ulrich Dangel 17.05.2012, 20:48
/etc, /var, и /tmp прийти на ум. У всех может потенциально быть деликатный характер. Всем можно дать отдельные объемы, но каждому из них свойственно быть в той же файловой системе как корневой каталог. Возможно, Вы переместили один или несколько прочь в их собственные объемы, но Вы переместили их всех?
/etcсодержит:хешированные пароли; возможно несколько видов, такой как
/etc/shadowи/etc/samba/smbpasswdзакрытые ключи различных видов: SSL, SSH, Kerberos...
/varсодержит:/var/log, многие из которых содержание предназначается, чтобы быть только для чтения корнем, потому что они могут содержать уязвимые данные; например,/var/log/httpd/access_logможет содержать ПОЛУЧАЮТ данные, которые являются незашифрованными записями пользователями веб-сайта и поэтому могут быть чувствительными.файлы базы данных; MySQL обычно хранит свою таблицу и индексные файлы в
/var/lib/mysql, например,
/tmpсодержит временные файлы, которые не могут звучать чувствительными, но существует много нападений на программное обеспечение Unix, которое включает условия состязания из-за способности изменить или стрелять из укрытия временный файл, в то время как процесс пытается использовать его. Я знаю во многих случаях, характер файла является деликатным только краткосрочным способом (т.е. не через перезагрузку), но я предполагаю, что некоторые программы могли бы быть в зависимости от способа, которым липкие биты и mkstemp (3) ведут себя для временного кэширования долговечных уязвимых данных, также.
-
1/и т.д., и / var положительная сторона. Что касается/tmp почти всегда настраивает его как tmpfs. – nikitautiu 17.05.2012, 20:38
Другая причина предотвращает вмешательство файловой системы. После того, как зашифрованный, это намного более сложно, чтобы сделать что-либо, что могло укусить Вас в следующую начальную загрузку, например, размещение руткита в Вашей файловой системе (быть этим путем начальной загрузки живого CD или перемещения HDD в другую машину временно). Ваше ядро (и initrd) все еще уязвимо, но это может быть облегчено при помощи любой безопасной начальной загрузки (с правильно цепочкой начальной загрузки со знаком) или путем начальной загрузки от безопасного съемного устройства (например, флеш-накопитель или карта памяти, которую Вы имеете под управлением все время).
-
1действительно, шифрование / домой бесполезно, если во все двоичные файлы можно вмешаться, прежде чем пользователь затем загружается. я сказал бы это, я буду самый важный ответ. / домашнее шифрование только защищает от внезапного воровства – infinite-etcetera 19.12.2016, 17:36