Volume Físico Encriptado LVM versus Volume Lógico Encriptado. Eu estou seguro?

Navegue suas respostas
6

Eu sou de alguma forma novo em técnicas de criptografia de disco no Linux, mas eu tenho o básico noções sobre criptografia. Aqui minhas condições:

  • Preciso ter "criptografia total de disco", incluindo "/", não apenas "/ home".
  • Eu não preciso de / home em uma partição separada, prefiro apenas um único "/" e permito
  • Eu preciso suspender / hibernar para trabalhar (sim, eu sei que suspender não é seguro, mas preciso que funcione em casos raros em que as pessoas não roubam meu laptop)
  • Eu quero fazer isso usando instaladores de distribuição Linux modernos, então meu opção é basicamente LVM
  • Eu sei que precisarei de uma partição não criptografada / de inicialização

Mas o problema é: usando instaladores de distribuição, eu tenho a opção de criptografar Volume Físico (PV), mas também para criptografar os Volumes Lógicos (LVs) dentro do PV.

  • Qual é o melhor?
  • Se eu tiver apenas o volume físico criptografado, estou seguro? Ou apenas criptografa algum tipo de metadados (como uma tabela contendo ponteiros para o interior partições) e não os sistemas de arquivos dentro dele?
  • Existe algum caso em que eu deseje ter criptografia PV + criptografia LV? Explique.

O LVM tem muitas abstrações diferentes (PV, VG, LV, PE), tenho medo de que, ao criptografar algo que eu pode estar apenas criptografando algum tipo de tabela de metadados e não o conteúdo real dos meus arquivos. Eu tentei googling isso, mas os howtos geralmente explicam como formatar suas partições, mas não os detalhes que estou pedindo. Tenho a sensação de que as pessoas só querem digitar algum tipo de senha, mesmo que não saibam o que realmente está sendo criptografado. Os instaladores da Distribuição Linux também não ajudam (o único que se preocupa em escrever coisas aleatórias no disco antes de criptografar é o Debian!).

O que eu fiz:

  • Usando o instalador OpenSuse, criei uma partição física no meu disco e marquei como "criptografado". Então, eu usei para criar um grupo LVM e, dentro dele, eu criado não criptografado / e swap. Isso é seguro?

Ainda estou esperando a instalação terminar. Vou precisar descobrir como tentar quebrá-lo depois.

Obrigado antecipadamente.

    
por pzanoni 16.12.2011 / 18:32

1 resposta

3

Which one is better?

Ambos usam a mesma tecnologia. Se você criptografar o volume físico, tudo dentro do LVM será criptografado. Se você precisa / quer algo para não ser criptografado dentro do seu volume LVM, então você precisa deixar a criptografia de configuração nos volumes lógicos.

I'm afraid that by encrypting something I might be only encrypting some kind of metadata table and not the actual contents of my files.

Quase todos os instaladores basicamente configuram um volume DM-Crypt usando LUKS . Isso criptografa o conteúdo da partição inteira. Então é muito comum configurar o LVM dentro do volume criptografado para fornecer ao usuário a flexibilidade de ajustar as partições conforme necessário.

Is there any case where I'll want to have PV encryption + LV encryption?

Suponho que, se você fosse extremamente paranoico, talvez desejasse ter seu volume padrão de baixa segurança que tenha o sistema operacional e seus arquivos padrão. Em seguida, você pode ocultar seus arquivos extremamente super-duplos-positivos-superiores-secretos em um volume criptografado separado que só é montado conforme necessário. Se você montasse ambos os volumes na inicialização, então não faria sentido algum, você teria apenas a sobrecarga de coisas criptografadas duas vezes, e não muito ganho real. Se você configurou algo assim, deve ser bastante óbvio que você precisaria estabelecer chaves / senhas completamente separadas para o volume interno.

    
por 16.12.2011 / 18:51

Tags

O LogonStudio da Stardock não altera o fundo da tela de login? SQL Server Management Studio ignora o banco de dados padrão