Além dos diretórios base, há três hierarquias de diretório com dados graváveis: /etc
, /tmp
e /var
.
-
/etc
contém arquivos de configuração do sistema, a maioria dos quais normalmente não é sensível. Mas podem existir dados confidenciais, por ex. senhas de Wi-Fi. -
/tmp
pode conter dados confidenciais; praticamente qualquer programa pode colocar arquivos temporários lá. Isso é facilmente resolvido tornando-se um sistema de arquivos na memória (tmpfs
). Desta forma, se o seu conteúdo chegar ao disco, ele estará em swap, que precisa ser criptografado se você se importar em criptografar qualquer coisa. -
/var
tem muitos subdiretórios. Em particular:-
/var/tmp
é como/tmp
, mas deve estar no disco. Poucos programas escrevem lá, mas quando é usado, geralmente é para arquivos grandes. É difícil prever quem vai precisar dele, por isso deve ser criptografado. -
/var/mail
(ou/var/spool/mail
) pode acabar contendo dados sensíveis, ou não. Depende de como você usa o correio local e se as mensagens de erro do cron job podem conter dados confidenciais. -
/var/spool/cups
ou/var/spool/lp
(ou algumas outras variações) contêm arquivos temporários durante a impressão. Se você imprimir documentos confidenciais, isso também deve ser criptografado. - Outros diretórios em
/var/spool
podem conter dados confidenciais, como e-mails enviados. - As informações confidenciais podem acabar nos registros do sistema em
/var/log
. - Como você observou, se você tiver nomes de arquivos confidenciais, eles podem acabar em
/var/cache/locate
ou/var/lib/mlocate
ou variações nesse tema.
-
Se você quiser tranquilidade, basta criptografar tudo, exceto /boot
. Atualmente, a maioria dos computadores é poderosa o suficiente para que o custo da criptografia na CPU seja insignificante, e a maioria das distribuições suporta criptografia de todo o disco com facilidade.