我是Linux的忠实拥护者,喜欢不时尝试新发行版。通常,我的主文件夹和根目录都位于加密分区顶部的lvm中,但是由于每个initramfs创建过程都比最后一个创建过程更加陌生,所以这往往变得很麻烦。
我重视隐私,但是我的大部分宝贵信息或个人信息都存储在主文件夹中。而且,我使用GPT进行了分区,因此即使在lvm之外也很难设置多个分区。
因此,问题是:值得进行根加密和对“ /”的lvm-ing处理,特别是对于我必须处理的所有早期用户空间麻烦而言?
我是Linux的忠实拥护者,喜欢不时尝试新发行版。通常,我的主文件夹和根目录都位于加密分区顶部的lvm中,但是由于每个initramfs创建过程都比最后一个创建过程更加陌生,所以这往往变得很麻烦。
我重视隐私,但是我的大部分宝贵信息或个人信息都存储在主文件夹中。而且,我使用GPT进行了分区,因此即使在lvm之外也很难设置多个分区。
因此,问题是:值得进行根加密和对“ /”的lvm-ing处理,特别是对于我必须处理的所有早期用户空间麻烦而言?
Answers:
首先,加密的root和早期用户空间的麻烦通常已经由您的发行版解决(据我所知,Fedora,Debian,Ubuntu和OpenSUSE支持开箱即用的加密root)。这意味着您不必关心设置本身。
加密/的原因之一就是确保您根本不会泄漏任何信息。考虑一下将临时数据写入/ tmp的程序,包含敏感信息的日志文件(如/ var / log中的用户名/密码)或包含凭据的配置文件(如/ etc / fstab中的密码)或root用户的shell历史记录中的某些命令。
使用LVM代替分区有一个很大的好处,您可以轻松地调整大小/重命名/删除逻辑卷,而无需重新分区磁盘本身,这比使用分区(GPT或MBR)更方便
/etc
,/var
然后/tmp
浮现在脑海。所有内容都可能包含敏感内容。可以为所有卷分配单独的卷,但是每个卷通常都与根目录位于同一文件系统上。也许您已经将一个或多个移到了它们自己的卷中,但是您是否全部移走了它们?
/etc
包含:
哈希密码;可能有多种,例如/etc/shadow
和/etc/samba/smbpasswd
各种私钥:SSL,SSH,Kerberos ...
/var
包含:
/var/log
,许多内容旨在由root用户只读,因为它们可能包含敏感数据;例如,/var/log/httpd/access_log
可能包含GET数据,该数据是网站用户未加密的条目,因此可能很敏感。
数据库文件;MySQL通常将其表和索引文件存储在中/var/lib/mysql
,例如
/tmp
包含临时文件,这些文件可能听起来并不敏感,但是针对Unix软件的许多攻击都涉及竞争条件,因为它们能够在尝试使用临时文件的同时对其进行修改或窃听。我知道在很多情况下,文件内容仅在短期内(即不通过重新引导)敏感,但是我认为某些程序可能取决于粘性位和mkstemp(3)临时缓存长期存在的敏感文件的方式数据。