Khi cài đặt, tôi được cung cấp tùy chọn mã hóa thư mục nhà của mình - việc này làm gì?


103
  • Có mã hóa thư mục nhà của tôi làm cho máy tính của tôi an toàn hơn?
  • Tôi có phải nhập mật khẩu nhiều hơn nếu thư mục nhà của tôi được mã hóa không?
  • Những gì khác tôi nên biết về mã hóa thư mục nhà của tôi?

Câu trả lời:


95

Đơn giản

  1. Mã hóa thư mục nhà của bạn không thực sự làm cho máy tính của bạn an toàn hơn - nó chỉ đơn giản làm cho tất cả các tệp và thư mục trong thư mục nhà của bạn an toàn hơn khi xem trái phép.
    • Máy tính của bạn vẫn "dễ bị tổn thương" theo quan điểm bảo mật - nhưng nội dung của bạn sẽ rất khó bị đánh cắp (trừ khi kẻ tấn công có mật khẩu của bạn).
  2. Bạn sẽ không cần phải thực sự nhập mật khẩu của mình nhiều hơn bình thường - khi bạn đăng nhập vào máy tính, các tệp của bạn sẽ được giải mã liền mạch cho phiên của bạn.
  3. Có một khả năng (tùy thuộc vào phần cứng máy tính của bạn) rằng điều này sẽ ảnh hưởng đến hiệu suất trên máy của bạn. Nếu bạn lo lắng về hiệu suất hơn bảo mật (và bạn đang sử dụng máy cũ), bạn có thể muốn tắt tính năng này.

Kỹ thuật

Ubuntu sử dụng "eCryptfs" lưu trữ tất cả dữ liệu trong một thư mục (trường hợp này là các thư mục gốc) dưới dạng dữ liệu được mã hóa. Khi người dùng đăng nhập vào thư mục được mã hóa đó được gắn với giá trị giải mã thứ hai (đây là một giá trị tạm thời hoạt động tương tự như tmpfs - nó được tạo và chạy trong RAM để các tệp không bao giờ được lưu trữ ở trạng thái được giải mã trên HD). Ý tưởng là - nếu ổ cứng của bạn bị đánh cắp và nội dung đọc những mục đó không thể đọc được vì Linux cần phải được chạy với xác thực của bạn để tạo ra sự gắn kết và giải mã thành công (Các khóa là dữ liệu được mã hóa SHA-512 một số khía cạnh người dùng - các khóa sau đó được lưu trữ trong vòng khóa được mã hóa của bạn). Kết quả cuối cùng là dữ liệu an toàn về mặt kỹ thuật (miễn là mật khẩu của bạn không bị bẻ khóa hoặc rò rỉ).

Bạn sẽ không phải nhập mật khẩu của bạn nhiều hơn bình thường. Có một sự gia tăng nhẹ của Đĩa I / O và CPU (tùy thuộc vào thông số kỹ thuật máy tính của bạn) có thể cản trở hiệu suất - mặc dù nó khá liền mạch trên hầu hết các PC hiện đại


5
Marco, cảm ơn bạn đã trả lời, bạn dường như có một nắm bắt tuyệt vời về mã hóa thư mục nhà. Chỉ vì lợi ích của người dùng ít kỹ thuật, bạn có thể cung cấp cho tôi tất cả các chi tiết kỹ thuật và trả lời câu hỏi như thể tôi đang hỏi với tư cách là người dùng không biết chữ?
David Siegel

2
Tôi đã sửa đổi câu trả lời của mình để phản ánh quan điểm đơn giản hơn
Marco Ceppi

1
Cảm ơn bạn! (Tuy nhiên, có một số quirks định dạng)
David Siegel

11
Cũng lưu ý rằng nếu bạn khởi động kép, việc truy cập phân vùng Linux của bạn từ HĐH thứ cấp sẽ khó khăn hơn nhiều. Trong Windows, tôi đã cài đặt trình điều khiển đơn giản để đọc phân vùng EXT3 của mình, nhưng bây giờ tôi đã bị khóa. Ôi!
Jono

2
Plod: Đó là nơi an ninh dừng lại. Nếu ai đó có mật khẩu của bạn thì đó là trò chơi kết thúc.
Marco Ceppi

15

Có một bài viết hay về chủ đề được viết bởi chính nhà phát triển Ubuntu, vui lòng xem: http://www.linux-mag.com/id/7568/1/

Tóm lược:

  • Một sự kết hợp giữa LUKS và dm-crypt được sử dụng để mã hóa toàn bộ đĩa trong Linux. Ubuntu sử dụng Hệ thống tệp mã hóa doanh nghiệp (ECryptfs) từ phiên bản> = 9.10 để kích hoạt mã hóa ổ đĩa tại nhà khi đăng nhập.

  • Một thư mục trên và dưới được tạo, trong đó thư mục trên được lưu trữ không được mã hóa trong RAM, cấp quyền truy cập cho hệ thống và người dùng hiện tại. Thư mục thấp hơn được thông qua các đơn vị dữ liệu được mã hóa nguyên tử và được lưu trữ trong bộ nhớ vật lý.

  • Tên tệp và thư mục sử dụng một fnek đơn, rộng (khóa mã hóa tên tệp). Tiêu đề của mỗi tệp được mã hóa chứa một fek (khóa mã hóa tệp), được bao bọc bằng một khung cứng riêng, rộng (khóa mã hóa tệp, khóa mã hóa). Khóa nhân Linux quản lý các khóa và cung cấp mã hóa thông qua các mật mã phổ biến của nó.

  • Sử dụng PAM eCryptfs (Mô-đun xác thực có thể cắm) không phá vỡ các khởi động lại không giám sát, không giống như các giải pháp mã hóa toàn bộ đĩa điển hình.

  • Hệ thống tập tin lớp eCryptfs cho phép sao lưu trên mỗi tệp, tăng dần, được mã hóa.


3
Bạn có thể biến câu trả lời chỉ liên kết của bạn thành một câu trả lời hữu ích hơn không, bằng cách tóm tắt những điểm chính được nêu trong bài viết đó?
arekolek

9

Ít trả lời về mặt kỹ thuật theo yêu cầu của OP.

Lợi ích bảo mật của Trang chủ được mã hóa thông qua ecryptfs như trong Ubuntu:

  • Sẽ không yêu cầu bất kỳ mật khẩu hoặc khóa bổ sung để được ghi nhớ hoặc nhập.
  • Không làm cho máy tính của bạn an toàn hơn trên mạng, ví dụ như trên internet.
  • Nếu máy tính được chia sẻ giữa nhiều người dùng, hãy cung cấp thêm một rào cản chống lại những người dùng khác truy cập vào tệp của bạn. (Thảo luận kỹ thuật khó.)
  • Nếu kẻ tấn công có được quyền truy cập vật lý vào máy tính của bạn, ví dụ như đánh cắp máy tính xách tay của bạn, điều này sẽ bảo vệ dữ liệu của bạn khỏi bị kẻ trộm đọc. .

6

Một điều khác bạn nên biết về việc mã hóa thư mục nhà của bạn là dữ liệu trong đó không thể truy cập được khi bạn chưa đăng nhập. Nếu bạn có một số quy trình tự động hoặc bên ngoài (như crontab) cố gắng truy cập dữ liệu này, nó sẽ hoạt động rất tốt trong khi bạn đang xem nó, nhưng thất bại khi bạn không xem nó. Điều này rất khó chịu để gỡ lỗi.


2

Bảo mật của hệ thống thực tế của bạn không được xác định bởi tính bảo mật của các tệp, thư mục và tài liệu của bạn ... tất cả những gì nó làm là khiến chúng an toàn hơn một chút khỏi con mắt tò mò ....

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.