在加密的LVM安装上加密主目录是否过大？

我从备用CD安装并使用LVM加密的硬盘驱动器。

安装程序现在正在询问我是否要加密我的主目录，这太过分了吗？

对于大多数系统来说，这太过分了。“加密的LVM”可能表示“ LUKS”（Linux统一密钥设置）。

加密主目录可防止您：

• 同一系统上的其他用户正在访问您的文件
• 机器被盗/丢失时数据失窃

但不是来自：

• 修改用户主目录之外的系统设置或文件（包括二进制文件）。这样，管理员（或具有物理访问权限和LiveCD的任何人）可以安装一个程序来复制/修改主目录中的文件/设置。

使用LUKS加密系统（在备用安装程序的情况下为完整磁盘加密）：

• 机器被盗/丢失时数据失窃
• 数据完整性：尽管您仍未受到Evil Maid Attack的保护，但不知道您的LUKS密码短语的任何人都无法修改系统设置或文件。

因此，如果您是系统的唯一用户，则对主目录进行加密不会增加明显的保护，只会降低性能。如果您要与可以信任的人共享计算机，并且计算机不包含机密信息，那么您也不应该这样做。最后一种情况：如果您共享计算机，并且计算机上安装了多个操作系统，并且您是唯一知道密码短语的人，那么仍然不需要加密主目录。

是否过大取决于您的情况。加密的主目录将保护您的个人数据不受系统上其他用户以及外部入侵者的侵害。此外，每增加一层加密，攻击者就更难以闯入。在备份驱动器上，该驱动器上有客户端计算机的映像，其中一些包含信用卡号和社会保险号，我使用了整个磁盘加密，然后使用带有不同密码和[PPP]的加密主目录：https : //www.grc.com/ppp.htm码。对于带有人们个人信息的事物，我将其附加到具有级联加密的TrueCrypt容器中。这可能是多余的，但它涵盖了所有基础。窃取我的驱动器的人被锁定在一切之外，某人以某种方式对正在运行的系统进行黑客攻击被锁定在我的文件之外，而有人在我对其进行备份的同时获得控制台访问权，则仅获得当前解密的备份集（最可能是他们自己的数据。）

确定您需要的级别很大程度上是发现某人可能对您的系统进行何种攻击并将其锁定的问题。对于99％的单用户系统，整个磁盘加密可能绰绰有余。