想要一个易于使用的Linux磁盘加密方案

为了保护个人信息，以防笔记本电脑被盗，我正在寻找加密Linux系统的最佳方法。

整个磁盘加密（包括交换）的缺点：

• 引导前的密码提示有点丑陋和粗糙，似乎隐藏在引导消息中（像Splashy这样的东西可以处理吗？）
• 需要登录两次（如果您具有GDM登录屏幕并且需要多个用户）

使用libpam-mount或类似文件进行单个文件夹加密的缺点：

• 仅用户的主文件夹被加密（而/ etc，/ var等也可能包含敏感信息）。
• 交换文件未加密，因此很可能是其中的敏感数据泄漏
• 无法安全地休眠。

如果有问题，我正在使用Debian Linux。不需要太可笑的安全，但要放心，如果小偷在下班/冬眠时被盗，他就不会窃取我的身份，银行帐户详细信息，VPN登录名等。

您知道解决上述任何问题的方法吗？

您的问题很普遍：主要是安全性和可用性之间的艰难平衡。

我的建议是使用混合方法的稍微修改的版本：

• 使用TrueCrypt之类的跨平台软件为您每天不使用的个人数据准备一个或多个加密卷（银行详细信息，保存的密码，病历等）
• 使用多个卷的原因是您可能希望将它们备份到不同的介质上，或者使用不同的加密方案：例如，您可能想与其他人共享健康记录并告诉他们您的密码（应该是对于其他卷，则有所不同）
• 使用“标准”跨平台软件意味着，如果笔记本电脑被盗/损坏，您将能够从另一个操作系统中即时恢复数据。
• 全盘加密通常很麻烦且困难。尽管有针对它的攻击（请参阅“ 邪恶女仆”攻击，但如果您担心人们可以访问整个系统会发生什么情况，那么它很有用。例如，如果您使用公司的笔记本电脑，则没有管理访问权限，有些VPN密钥不应该被盗
• 邮件/ Web /应用程序的缓存密码是另一个问题：也许您可能只想加密主目录？要优化性能和安全性/可用性，您可以：
  • 加密所有主目录
  • 软链接到文件系统上的非加密目录，以获取您不关心丢失的数据（音乐，视频等）

同样，不要忘记，与时间和恢复成本相比，一切都取决于损失的价值。

我不加密整个硬盘，只是过多的管理/管理东西。

因此，我使用dm-encrypt创建一个逻辑加密分区。

我围绕它创建了一个脚本，该脚本每天都使用，看它是否对您有帮助。我称它为.bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

您可以使用便携式驱动器存储加密密钥。为了获得最佳安全性，应该使用密码保护，但不必这样做。

http://loop-aes.sourceforge.net/loop-AES.README请看示例7。

我对Linux还是比较陌生，但是我认为当您安装系统时，有一种方法可以启用全盘加密。另外，TrueCrypt具有.deb软件包。

我还没有在Linux上使用磁盘加密，所以也许这些选项都存在您上面描述的问题。对于多用户登录，也许可以将TrueCrypt设置为使用USB驱动器上的密钥文件。这样，您只需要笔记本电脑和USB驱动器即可访问笔记本电脑上的文件。

我仍在自己学习Linux，因此希望对您有所帮助。

你在担心什么 什么攻击媒介？在认真对待安全性之前，必须对这两个问题有答案。

“个人信息”建议您担心诸如身份盗窃，随便的窥探者等等。诸如钥匙串软件之类的东西足以保护银行登录详细信息＆c，但对于大量信息而言则不切实际。

如果您要保护大量数据，不需要快速访问的信息，并且愿意为这些数据支付少量的经常性免费费用，那么Amazon S4是一个不错的选择，完全消除了对物理设备的担忧访问，从而降低了密钥管理的安全性，密钥管理软件又可以充分解决此问题。亚马逊看不到您以这种方式存储的内容，而只能看到加密结果。当然，这意味着如果您搞砸了并丢失了钥匙，亚马逊将无法为您提供帮助。

在第三种情况下，您想要相对快速地访问大量数据，我建议按照chinmaya的建议，不使用整个磁盘加密，而是使用整个分区加密。每个目录加密都是很麻烦的事，我不建议这样做：让归档系统来完成这项工作。