Deseja um esquema de criptografia de disco do Linux fácil de usar

Navegue suas respostas
11

No interesse de proteger informações pessoais no caso de um laptop ser roubado, estou procurando a melhor maneira de criptografar um sistema Linux.

Desvantagens da criptografia completa de disco, incluindo swap:

  • O prompt de senha de pré-inicialização é meio feio e não polido, aparecendo escondido entre as mensagens de inicialização (algo como o Splashy consegue lidar com isso?)
  • É necessário fazer login duas vezes (se você tiver uma tela de login do GDM e precisar de vários usuários)

Desvantagens da criptografia de pasta individual usando libpam-mount ou similar:

  • Apenas a pasta pessoal do usuário é criptografada (enquanto / etc, / var etc também pode conter informações confidenciais).
  • O arquivo de troca não é criptografado, então é provável que haja vazamento de dados confidenciais lá
  • Não há como hibernar com segurança.

Estou usando o Debian Linux se for importante. Não precisa ser ridiculamente seguro, mas quero ter paz de espírito de que um ladrão não pode roubar minha identidade, detalhes de contas bancárias, logins de VPN, etc., se ele for roubado enquanto estiver desligado / hibernando.

Você conhece maneiras de resolver algum dos meus problemas acima?

    
por thomasrutter 12.01.2010 / 02:32

5 respostas

7

Seu problema é comum: principalmente, o difícil equilíbrio entre segurança e usabilidade.

Minha sugestão é usar uma versão ligeiramente modificada de uma abordagem mista:

  • O uso de software de plataforma cruzada como o TrueCrypt prepara um ou mais volumes criptografados para seus dados pessoais que você NÃO usa diariamente (dados bancários, senhas salvas, registros médicos, etc.)
  • o motivo para usar mais de um volume é que você pode querer fazer o backup em mídias diferentes ou usar esquemas de criptografia diferentes: por exemplo, você pode compartilhar seus registros de saúde com outra pessoa e informar sua senha ( que deve ser diferente do usado para outros volumes)
  • usando um software "padrão" de plataforma cruzada significa que você poderá recuperar seus dados de outro SO on-the-fly, se o seu laptop for roubado / danificado
    • A criptografia de todo o disco é muitas vezes incômoda e difícil. Embora haja ataques (veja o Evil Maid Attack , acaba sendo útil Se você tem medo do que poderia acontecer se as pessoas tivessem acesso ao sistema todo , por exemplo, se você estiver usando um laptop da empresa, não tiver acesso administrativo e houver chaves de VPN que não devem roubado
  • senhas em cache para correio / web / aplicativos são outro problema: talvez você queira criptografar apenas seu diretório pessoal? Para otimizar o desempenho e a segurança / usabilidade, você poderia:
    • criptografar todo o diretório inicial
    • softlink para um diretório não criptografado em seu sistema de arquivos para dados que você não se importa em perder (música, vídeo etc.)

Novamente, não esqueça que tudo se resume ao valor do que você tem a perder, comparado ao valor do seu tempo e custo de recuperação.

    
por 15.01.2010 / 09:29
2

Eu não criptografo todo o disco rígido, é apenas muito de admin / coisa de gerenciamento.

Então eu uso o dm-encrypt para criar uma partição lógica criptografada.

Eu criei um script em torno dele, que uso diariamente, para ver se isso ajuda você. Eu chamo isso de .bashrc

link

    
por 19.01.2010 / 09:34
1

Você pode usar o pend drive para armazenar chaves de criptografia. Para melhor segurança, deve ser protegido por senha, mas não é necessário.

link veja o exemplo 7.

    
por 12.01.2010 / 02:42
1

Ainda sou relativamente novo no Linux, mas quando você instalou o sistema, havia uma maneira de ativar a criptografia de todo o disco. Além disso, o TrueCrypt tem um pacote .deb.

Eu ainda não usei criptografia de disco no Linux, então talvez essas opções tenham problemas como o descrito acima. No que diz respeito ao logon multiusuário, talvez o TrueCrypt possa ser configurado para usar um arquivo de chave em uma unidade USB. Dessa forma, tudo o que você precisa é do laptop e da unidade USB para acessar os arquivos no laptop.

Eu ainda estou aprendendo Linux, então espero que isso ajude.

    
por 12.01.2010 / 04:06
0

Com o que você está preocupado? Quais vetores de ataque? Antes de levar a sério a segurança, você precisa ter respostas para essas duas perguntas.

"Informações pessoais" sugere que você está preocupado com coisas como roubo de identidade, bisbilhoteiros casuais, & c. Algo como software de chaveiro é suficiente para proteger os detalhes de login do banco, & c, mas é impraticável para grandes quantidades de informações.

Se você tem muitos dados que deseja proteger, informações para as quais não precisa de acesso rápido e para as quais deseja pagar um pequeno pagamento gratuito, o Amazon S4 é uma boa opção, removendo totalmente Preocupa-se com o acesso físico, de modo que a segurança é reduzida ao gerenciamento de chaves, o que, novamente, é resolvido de forma adequada pelo software keychain. A Amazon não vê o conteúdo do que você armazena dessa maneira, mas apenas o resultado criptografado. É claro que isso significa que, se você errar e perder as chaves, a Amazon não poderá ajudá-lo.

No terceiro caso, onde você deseja acesso relativamente rápido a uma grande quantidade de dados, recomendo usar criptografia de disco não inteira, mas criptografia de partição inteira, por sugestão de chinmaya. A criptografia por diretório é um incômodo, e eu não recomendo: obtenha o sistema de arquivamento para fazer o trabalho.

    
por 19.01.2010 / 19:52

Tags

Altera o atalho de teclado para alternar aplicativos no OS X Extensão do Chrome para permitir a seleção de texto