Вопрос При установке мне предоставляется возможность зашифровать мою домашнюю папку - что это делает?


  • Зашифровывает ли моя домашняя папка мой компьютер более безопасным?
  • Должен ли я вводить свой пароль больше, если моя домашняя папка зашифрована?
  • Что еще я должен знать о шифровании моей домашней папки?

102
2017-07-28 19:39


происхождения




ответы:


Просто

  1. Шифрование вашей домашней папки на самом деле не делает ваш компьютер более безопасным - он просто делает все файлы и папки в вашей домашней папке более безопасными от несанкционированного просмотра.
    • Ваш компьютер по-прежнему «уязвим» с точки зрения безопасности, но для вашего контента становится очень сложно (если у злоумышленника нет вашего пароля).
  2. Вам не нужно будет вводить пароль больше, чем обычно, когда вы входите на свой компьютер, ваши файлы легко дешифруются только для вашей сессии.
  3. Существует возможность (в зависимости от вашего оборудования), что это повлияет на производительность вашего устройства. Если вы беспокоитесь о производительности больше, чем о безопасности (и на старой машине), вы можете отключить эту функцию.

Технически

Ubuntu использует «eCryptfs», который хранит все данные в каталоге (в данном случае домашние папки) в качестве зашифрованных данных. Когда пользователь регистрируется в зашифрованной папке, монтируется со вторым монтированием дешифрования (это временное монтирование, которое работает подобно tmpfs - оно создается и запускается в ОЗУ, поэтому файлы никогда не хранятся в дешифрованном состоянии на HD). Идея заключается в том, что если ваш жесткий диск украден и содержимое прочитано, эти элементы не могут быть прочитаны, так как Linux должен работать с вашей аутентификацией для создания успешного монтирования и дешифрования (ключи - это зашифрованные данные SHA-512 на основе несколько пользовательских аспектов - ключи затем сохраняются в зашифрованном ключевом кольце). Конечным результатом является технически безопасные данные (до тех пор, пока ваш пароль не будет взломан или просочился).

Вам больше не нужно вводить свой пароль, как обычно. Небольшое увеличение дискового ввода-вывода и процессора, которые (в зависимости от ваших спецификаций на компьютере) могут помешать работе, хотя на большинстве современных ПК это довольно легко


95
2017-07-28 19:50



Марко, спасибо за ваш ответ, вы, похоже, отлично разбираетесь в шифровании домашней папки. Только в интересах менее технических пользователей вы можете избавить меня от всех технических деталей и ответить на вопрос, как если бы я спрашивал, как компьютер-неграмотный пользователь? - David Siegel
Я изменил свой ответ, чтобы отразить более простую точку зрения - Marco Ceppi♦
Спасибо! (Однако есть некоторые особенности форматирования) - David Siegel
Также обратите внимание, что если вы выполняете двойную загрузку, это значительно затрудняет доступ к вашему разделу Linux из вашей вторичной ОС. В Windows я установил простой драйвер для чтения моего раздела EXT3, но теперь я заблокирован. Ой! - Jono
plod: Здесь безопасность останавливается. Если у кого-то есть свой пароль, значит, игра окончена. - Marco Ceppi♦


Есть хорошая статья по теме, написанная самим разработчиком Ubuntu: см. http://www.linux-mag.com/id/7568/1/

Резюме:

  • Комбинация LUKS и dm-crypt используется для шифрования всего диска в Linux. Ubuntu использует корпоративную криптографическую файловую систему (ECryptfs) с версии> = 9.10, чтобы включить шифрование домашнего диска при входе в систему.

  • Создаются верхний и нижний каталоги, где верхний каталог хранится в незашифрованном виде в ОЗУ, предоставляя доступ к системе и текущему пользователю. Нижняя директория передается атомарными, зашифрованными единицами данных и хранится в физической памяти.

  • Имена файлов и каталогов используют единый, глобальный fnek (ключ шифрования имени файла). Заголовок каждого зашифрованного файла содержит файл fek (ключ шифрования файла), который обернут отдельным файловым файлом fekek (ключ шифрования файла, ключ шифрования). Ядро Linux keyring управляет ключами и обеспечивает шифрование через общие шифры.

  • Использование eCryptfs PAM (подключаемый модуль аутентификации) не прерывает автоматические перезагрузки, в отличие от типичных решений для шифрования полного диска.

  • Многоуровневая файловая система eCryptfs позволяет создавать резервные копии для каждого файла, инкрементного, зашифрованного.


15
2017-07-28 19:46



Классная ссылка! Благодарю. - Vadim
Можете ли вы включить свой ответ только для ссылок в более полезный, обобщив основные моменты, поднятые в этой статье? - arekolek


Менее технически отвечают по просьбе ОП.

Преимущества безопасности зашифрованного дома через ecryptfs, как в Ubuntu:

  • Не потребуется никаких дополнительных паролей или ключей для запоминания или ввода.
  • Не делает ваш компьютер более безопасным в сети, например. в интернете.
  • Если компьютер используется совместно несколькими пользователями, он обеспечивает дополнительный барьер для других пользователей, обращающихся к вашим файлам. (Трудная техническая дискуссия.)
  • Если злоумышленник получает физический доступ к вашему компьютеру, например. крадет ваш ноутбук, это защитит ваши данные от чтения вором. (Если компьютер выключен, они не могут читать ваши данные без вашего пароля. Если компьютер включен и вы вошли в систему, вор может украсть ваши данные, но требует более продвинутой атаки, поэтому он менее вероятен.)

9
2017-10-27 20:33





Что еще вы должны знать о шифровании вашей домашней папки, так это то, что данные в нем недоступны, когда вы не вошли в систему. Если у вас есть какой-либо автоматизированный или внешний процесс (например, crontab), который пытается получить доступ к этим данным, он отлично работает в то время как вы смотрите его, но терпите неудачу, когда вы не смотрите его. Это очень неприятно для отладки.


6
2018-04-06 19:37





Безопасность вашей реальной системы не определяется безопасностью ваших файлов, папок и документов ... все, что она делает, делает их немного более безопасными от посторонних глаз ....


2
2017-08-06 19:02