Ваш первый подход заключается в шифровании всего, кроме /boot; ваш второй подход шифрует только swap и home.
Предлагаю все зашифровать. Я полагаю, что Debian может справиться даже с шифрованием /boot в настоящее время (с помощью grub, запрашивающего парольную фразу ).
Шифрование всего дает несколько больших преимуществ:
Безопасность. Данные слишком легко могут случайно просочиться за пределы /home
. Вы подумали о /tmp
; есть еще /var/tmp
. И, в зависимости от программ, которые вы используете, у каждой есть свое место в /var
— например, вы помещаете какие-то данные в MySQL, и упс, это было /var/lib/mysql
. Вы тоже помните почту в /var/mail
и /var/spool/exim
? или очередь печати в /var/spool/cups
(, если вы используете CUPS; в другом месте с другими системами печати )?Или /var/log
может легко содержать конфиденциальные данные. Зашифруйте все, и этого не может быть.
Гибкость. Разделение вынуждает вас выбирать, сколько места выделить для /
по сравнению с /home
. Если вы ошибетесь, с этой настройкой изменить ее будет сложно. Со всем, что находится внутри LVM, его намного проще изменить (, а с одной файловой системой вам даже не нужно принимать решение о разделении ).
Недостаток. Зашифрованная система немного медленнее, но я сомневаюсь, что это будет заметно на ПК, выпущенном, скажем, в последнее десятилетие.
Кстати, :Для атак злой горничной вам нужно убедиться, что машина всегда заблокирована, когда вас нет, и сделать что-то, чтобы заблокировать последовательность загрузки (, например, пароль прошивки / BIOS и grub пароль ), физические индикаторы несанкционированного доступа на корпусе, каким-то образом предотвращают добавление аппаратных кейлоггеров (или замену клавиатур )и т. д. От этого сложно защититься.
Аналогичная вещь в GNU awk:
$ gawk 'match($0, /([0-9]+) of ([0-9]+)/, a) && (a[2] == a[1] || a[2] == a[1]+1)' file
apple (XY_678901, apple 5 of 6) 1 12722 13220
apple (XY_234567, apple 2 of 2) 1 18437 24737
apple (XY_456789, apple 12 of 12) 1 35175 35276
perl -ne 'print if /(\d+) of (\d+)/ && ($1 == $2 or $1 == ($2 - 1))' < input
Это perl-скрипт с одним -лайнером, который перебирает введенные вами данные и печатает строки, только если:
of
",