it-swarm.cn

安装时,我可以选择加密我的主文件夹 - 这有什么作用?

  • 加密我的主文件夹会让我的电脑更安全吗?
  • 如果我的主文件夹已加密,是否必须输入更多密码?
  • 关于加密我的主文件夹,我还应该知道什么?
103
David Siegel

简单

  1. 加密您的主文件夹实际上并不会使您的计算机更安全 - 它只会使您的主文件夹中的所有文件和文件夹更安全,以防止未经授权的查看。[。_____。]
    • 从安全角度来看,您的计算机仍然“易受攻击” - 但您的内容很难被盗(除非攻击者拥有您的密码)。
  2. 您不需要比平常更多地输入密码 - 当您登录计算机时,您的文件将仅针对您的会话进行无缝解密。
  3. 有可能(取决于您的计算机硬件)这会影响您机器的性能。如果您担心的是性能而不是安全性(并且您使用的是旧机器),您可能希望禁用此功能。

技术上

Ubuntu使用“eCryptfs”将目录中的所有数据(本例为主文件夹)存储为加密数据。当用户登录时,加密文件夹装有第二个解密装载(这是一个类似于tmpfs的临时装载 - 它是在RAM中创建和运行的,因此文件永远不会存储在解密状态中高清)。这个想法是 - 如果您的硬盘被盗并且内容读取了那些项目无法读取,因为Linux需要运行您的身份验证才能创建成功的装载和解密(密钥是SHA-512加密数据,基于几个用户方面 - 密钥然后存储在您的加密密钥环中。最终结果是技术上安全的数据(只要您的密码没有破解或泄露)。

您不必再输入密码了。磁盘I/O和CPU略有增加(取决于您的计算机规格)可能会影响性能 - 尽管它在大多数现代PC上都非常无缝

95
Marco Ceppi

关于Ubuntu开发人员自己撰写的主题有一篇很好的文章,请看: http://www.linux-mag.com/id/7568/1/

摘要:

  • LUKS和dm-crypt的组合用于Linux中的全盘加密。 Ubuntu使用版本> = 9.10的企业加密文件系统(ECryptfs)来启用登录时的家庭驱动器加密。

  • 创建一个上层和下层目录,其中上层目录以未加密的形式存储在RAM中,授予对系统和当前用户的访问权限。较低的目录通过原子,加密的数据单元并存储在物理内存中。

  • 文件和目录名称使用单个挂载范围的fnek(文件名加密密钥)。每个加密文件的标题包含一个fek(文件加密密钥),包含一个单独的,挂载范围的fekek(文件加密密钥,加密密钥)。 Linux内核密钥环管理密钥并通过其公共密码提供加密。

  • 与典型的全磁盘加密解决方案不同,使用eCryptfs PAM(可插入身份验证模块)不会破坏无人值守的重新启动。

  • ECryptfs分层文件系统支持按文件,增量,加密备份。

15
al-maisan

根据OP的要求,技术上回答较少。

通过ecryptfs加密Home的安全性好处,如Ubuntu:

  • 不需要记住或输入任何其他密码或密钥。
  • 不会使您的计算机在网络上更安全,例如在网上。
  • 如果计算机在多个用户之间共享,则会为访问文件的其他用户提供额外的屏障。 (技术讨论困难。)
  • 如果攻击者获得对您计算机的物理访问权限,例如偷你的笔记本,这将保护你的数据不被小偷阅读。 (如果计算机处于关闭状态,则在没有密码的情况下无法读取数据。如果计算机已打开并且您已登录,则窃贼可能会窃取您的数据,但需要更高级的攻击,因此不太可能。)
9
Jan

关于加密您的主文件夹,您还应该知道的是,当您未登录时,其中的数据无法访问。如果您有一些尝试访问此数据的自动或外部过程(如crontab),它将很有效当你在看它时,但是当你不看它时会失败。调试非常令人沮丧。

6
Neil Vandermeiden

实际系统的安全性不是由您的文件,文件夹和文档的安全性决定的......它所做的只是让它们更安全,不会窥探......

2
zkriesse