出于什么原因加密/？

我是Linux的忠实拥护者，喜欢不时尝试新发行版。通常，我的主文件夹和根目录都位于加密分区顶部的lvm中，但是由于每个initramfs创建过程都比最后一个创建过程更加陌生，所以这往往变得很麻烦。

我重视隐私，但是我的大部分宝贵信息或个人信息都存储在主文件夹中。而且，我使用GPT进行了分区，因此即使在lvm之外也很难设置多个分区。

因此，问题是：值得进行根加密和对“ /”的lvm-ing处理，特别是对于我必须处理的所有早期用户空间麻烦而言？

首先，加密的root和早期用户空间的麻烦通常已经由您的发行版解决（据我所知，Fedora，Debian，Ubuntu和OpenSUSE支持开箱即用的加密root）。这意味着您不必关心设置本身。

加密/的原因之一就是确保您根本不会泄漏任何信息。考虑一下将临时数据写入/ tmp的程序，包含敏感信息的日志文件（如/ var / log中的用户名/密码）或包含凭据的配置文件（如/ etc / fstab中的密码）或root用户的shell历史记录中的某些命令。

使用LVM代替分区有一个很大的好处，您可以轻松地调整大小/重命名/删除逻辑卷，而无需重新分区磁盘本身，这比使用分区（GPT或MBR）更方便

/etc，/var然后/tmp浮现在脑海。所有内容都可能包含敏感内容。可以为所有卷分配单独的卷，但是每个卷通常都与根目录位于同一文件系统上。也许您已经将一个或多个移到了它们自己的卷中，但是您是否全部移走了它们？

• /etc 包含：

  • 哈希密码；可能有多种，例如/etc/shadow和/etc/samba/smbpasswd

  • 各种私钥：SSL，SSH，Kerberos ...

• /var 包含：

  • /var/log，许多内容旨在由root用户只读，因为它们可能包含敏感数据；例如，/var/log/httpd/access_log可能包含GET数据，该数据是网站用户未加密的条目，因此可能很敏感。

  • 数据库文件；MySQL通常将其表和索引文件存储在中/var/lib/mysql，例如

• /tmp包含临时文件，这些文件可能听起来并不敏感，但是针对Unix软件的许多攻击都涉及竞争条件，因为它们能够在尝试使用临时文件的同时对其进行修改或窃听。我知道在很多情况下，文件内容仅在短期内（即不通过重新引导）敏感，但是我认为某些程序可能取决于粘性位和mkstemp（3）临时缓存长期存在的敏感文件的方式数据。

另一个原因是防止篡改文件系统。加密后，进行任何可能在下次启动时咬住您的事情要复杂得多，例如，将rootkit放在文件系统上（通过启动实时CD或将HDD临时移至另一台计算机来进行）。您的内核（和initrd）仍然容易受到攻击，但是可以通过使用安全启动（带有正确签名的启动链）或从安全的可移动设备（例如，您拥有控制权的闪存驱动器或存储卡）启动来缓解这种情况。时间）。