Похоже на то, что Вы, после не способ зашифровать и дешифровать каталоги, а способ работать с зашифрованным устройством хранения данных прозрачно. Обратите внимание, что схема, которую Вы предлагаете с фактическим массовым дешифрованием и шифрованием, не очень безопасна: это оставляет вещи незашифрованными, если Вы обычно не выходите из системы (сбой питания, системный катастрофический отказ, украденный ноутбук...); и это оставляет трассировки Ваших конфиденциальных данных, которые решительный взломщик мог найти (данные из стертых файлов находятся все еще на диске, просто трудно для нахождения).
Существующие системы Linux предлагают несколько способов достигнуть прозрачного шифрования. Можно зашифровать целый объем с dm-склепом или одной из его альтернатив. Существует несколько инструментов, доступных для шифрования определенного дерева каталогов, включая ecryptfs (который работает на уровне ядра), и encfs (который работает просто в пространстве пользователя через предохранитель). (Три, которые я упоминаю, доступны в Debian lenny и должны быть предложены всеми Вашими дистрибутивами.)
Можно настроить зашифрованные каталоги, которые будут смонтированы, когда Вы входите в систему любой через PAM (libpam-mount
пакет; рекомендуемая опция для ecryptfs) или через Ваши сценарии профиля (рекомендуемый опцию для encfs). Обратите внимание, что нет никакой проблемы с “упущением зашифровать вручную”, так как ничто никогда не пишется незашифрованный в диск.
Для лучшей защиты необходимо зашифровать не только конфиденциальные файлы, но также и другие места, где конфиденциальные данные могут храниться программами. По крайней мере, необходимо зашифровать раздел подкачки. Другие места для наблюдения включают /tmp
(лучше всего решенный путем создания его tmpfs
), /var/spool/cups
если Вы печатаете конфиденциальные документы, и на файлы приложения в Вашем корневом каталоге такие веб-кэши/истории (например. ~/.mozilla
).
Я вручную отредактировал Мягкие фетровые шляпы / начальная загрузка:
Я добавил несколько вещей к "/boot/grub/menu.lst"!!! и я мог загрузиться в к Ubuntu!
"/boot/grub/menu.lst" Fedora прежде, чем отредактировать его:
# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE: You have a /boot partition. This means that
# all kernel and initrd paths are relative to /boot/, eg.
# root (hd0,2)
# kernel /vmlinuz-version ro root=/dev/mapper/VolGroup-LogVol01
# initrd /initrd-[generic-]version.img
#boot=/dev/sda
default=0
timeout=0
splashimage=(hd0,2)/grub/splash.xpm.gz
hiddenmenu
title Fedora (2.6.35.6-45.fc14.i686)
root (hd0,2)
kernel /vmlinuz-2.6.35.6-45.fc14.i686 ro root=/dev/mapper/VolGroup-LogVol01 rd_LVM_LV=VolGroup/LogVol01 rd_LUKS_UUID=luks-af599498-b495-483f-bd1b-fb8d10c8b37a rd_LVM_LV=VolGroup/LogVol00 rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=us rhgb quiet
initrd /initramfs-2.6.35.6-45.fc14.i686.img
Я добавил это, и это работало:
title ubuntu
root (hd0,0)
kernel /vmlinuz-2.6.32-28-generic
initrd /initrd.img-2.6.32-28-generic
Хорошо. Но существует все еще два вопроса:
1) это загружает метод хорошо? (я подразумеваю, что существует много вещей, объявленных в строке ядра мягкой фетровой шляпы, и в строке ядра человечности, я имел, просто записал "vmlinuz-2.6.32-28-generic" - я не мог просто скопировать с/boot/grub/menu.lst человечности, потому что существует только grub.cfg.. другой синтаксис: http://pastebin.com/raw.php?i=b4DLweKv)
2) эта ручная модификация к menu.lst постоянному? Это в порядке в долгосрочном?
Я имею в виду, должен ли get's человечности, обновление ядра и человечность не обрабатывают/обновляют диспетчер начальной загрузки (потому что мягкая фетровая шляпа делает это, если я устанавливаю мягкую фетровую шляпу наконец) - затем, как диспетчер начальной загрузки мог знать, та человечность, загрузиться с новым ядром?? или я должен узнать, что записать в "ядре" и "initrd" строке вручную?
При использовании LVM или dm-склепа, я рекомендовал бы non-LVM non-dm-crypt раздел начальной загрузки. Просто создайте диск с улиткой 100meg нормальный раздел начальной загрузки. Затем выделите остальную часть диска зашифрованному LVM VG. Я также сделал этот вид установки при использовании RAID. Я создаю первый раздел как RAID1 через все диски. Личинка не испытывает никаких затруднений при начальной загрузке с тех пор в RAID1, все диски идентичны и похожи на нормальный диск не-RAID (минус маленький суперблок RAID в конце раздела), и остальная часть диска могла бы быть RAID5 с LVM и/или dm-склепом на вершине.
Раздел начальной загрузки должен быть больше, чем 100 МБ
Я использую раздел начальной загрузки 100 МБ и человечность 10.10 и поскольку там постоянно публикуется новые версии ядра, 100 МБ быстро израсходованы.
Давным-давно 100 МБ / начальная загрузка были много, но не теперь.
Можно загрузить grub2 Ubuntu от личинки прежней версии как этот:-
title Ubuntu
root (hd0,0)
kernel /boot/grub/core.img
Тем путем Вы будете все еще видеть полное меню Ubuntu grub2, которое будет обновлено, когда ядро обновит.
menu.lst
илиgrub.cfg
вручную, Ваши модификации могут / быть потерянными, когда обновление ядра входит. Короче говоря установите личинку Fedora на загрузочном секторе раздела и заставьте Ubuntu копать chainload это (легче настроить Ubuntu Grub2, чем Grub1 Fedora). – Gilles 'SO- stop being evil' 17.04.2011, 15:16