Какие разделы я должен зашифровать?

В большинстве сценариев одна из следующих трех схем работает хорошо.

Вы только хотите зашифровать несколько особенно конфиденциальных файлов.

Используйте encfs:

mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file

Профессионалы: никакие издержки для доступа к неконфиденциальным файлам; у Вас могут быть различные иерархии с различными паролями; можно легко скопировать целую иерархию зашифрованных файлов к другой машине; Вам не нужны никакие специальные полномочия использовать encfs.

Недостатки: только шифрует файлы, которые явно помещаются в зашифрованную область; немного медленнее, чем шифрование уровня диска, если Вы собираетесь зашифровать много файлов так или иначе.

Вы хотите, чтобы Ваш целый корневой каталог был зашифрован.

Используйте ecryptfs.

За и против. Короче говоря ecryptfs работает особенно хорошо, когда Вы хотите зашифровать свой корневой каталог с помощью пароля входа в систему; это - то, что использует Ubuntu, если Вы говорите установщику шифровать свой корневой каталог. Один довод "против" - то, что это более трудно к ssh в Вашу учетную запись, потому что при использовании ключевой аутентификации для ssh открытый ключ должен быть помещен вне зашифрованной области, и необходимо будет ввести пароль после ssh'ing в.

Целое шифрование диска.

Используйте dm-склеп для шифрования всего кроме /boot.

Профессионалы: все шифруется, таким образом, Вы не должны волновать по поводу случайного помещения файла на неправильное место; шифрование блочного уровня обеспечивает лучшую скорость, особенно если Ваш процессор имеет аппаратный акселератор для AES (AES-NI на x86).

Недостатки: необходимо обеспечить пароль во время начальной загрузки, таким образом, Вы не можете сделать необслуживаемой начальной загрузки; все шифруется, который может быть медленным, если Ваш процессор является медленным.

Общие сведения

Если Вы не идете для полного шифрования диска, помните, что некоторые временные копии Ваших данных могут закончиться вне Вашего корневого каталога. Самым очевидным примером является область подкачки, поэтому если Вы собираетесь использовать шифрование для предотвращения от вора от чтения данных, удостоверьтесь, что зашифровали его (с dm-склепом). Так как область подкачки повторно инициализируется при каждой начальной загрузке, можно использовать случайный ключ для нее и этот способ, которым можно сделать необслуживаемую начальную загрузку (однако, это делает спящий режим невозможным).

Поместить /tmp под tmpfs (это - хорошая идея так или иначе). Посмотрите, Как (безопасно) переместить/tmp в другой объем? поскольку, как мигрировать /tmp к tmpfs.

Другими подверженными риску областями является почтовое отбрасывание (/var/mail) и спулер печати (/var/spool/cups).

Необходимо определенно пойти с удачами, поскольку это интегрируется с ядром Linux и будет работать из поля. Используя другое решение не действительно стоит тем более, что некоторые из них не будут поддерживать AES-NI.

Для дискуссии о том, что зашифровать, взглянули на Какую-либо причину зашифрованного/? но в зависимости от Вашего уровня паранойи и безопасности нуждается в просто шифровании /home может быть достаточно.