Ist das Verschlüsseln des Basisverzeichnisses bei einer verschlüsselten LVM-Installation zu viel?

Ich installiere von der alternativen CD und verwende die LVM-verschlüsselte Festplatte.

Das Installationsprogramm fragt nun, ob ich mein Home-Verzeichnis verschlüsseln möchte. Ist dies ein Overkill?

Für die meisten Systeme ist es übertrieben. Mit "verschlüsseltem LVM" meinen Sie wahrscheinlich "LUKS" ( Linux Unified Key Setup ).

Das Verschlüsseln des Basisverzeichnisses schützt Sie vor:

• Andere Benutzer auf demselben System greifen auf Ihre Dateien zu
• Datendiebstahl, wenn die Maschine gestohlen wird / verloren geht

Aber nicht von:

• Änderung von Systemeinstellungen oder Dateien (einschließlich Binärdateien) außerhalb des Basisverzeichnisses des Benutzers. Auf diese Weise kann der Administrator (oder jeder mit physischem Zugriff und einer Live-CD) ein Programm installieren, das die Dateien / Einstellungen in Ihrem Ausgangsverzeichnis kopiert / ändert.

Verschlüsseln Ihres Systems mit LUKS (vollständige Festplattenverschlüsselung im Fall des alternativen Installationsprogramms):

• Datendiebstahl, wenn die Maschine gestohlen wird / verloren geht
• Datenintegrität: Jeder, der Ihre LUKS-Passphrase nicht kennt, kann Ihre Systemeinstellungen oder -dateien nicht ändern, obwohl Sie immer noch nicht vor einem bösen Maid-Angriff geschützt sind .

Wenn Sie der einzige Benutzer des Systems sind, bietet die Verschlüsselung Ihres Home-Verzeichnisses keinen nennenswerten Schutz und beeinträchtigt nur die Leistung. Dies sollten Sie auch nicht tun, wenn Sie Ihren Computer für vertrauenswürdige Personen freigeben und Ihr Computer keine streng geheimen Informationen enthält. Ein letzter Fall: Wenn Sie den Computer gemeinsam nutzen und mehrere Betriebssysteme auf dem Computer installiert sind und Sie der einzige sind, der die Passphrase kennt, besteht keine Notwendigkeit, Ihr Home-Verzeichnis zu verschlüsseln.

Ob es übertrieben ist oder nicht, hängt von Ihren Umständen ab. Ein verschlüsseltes Home-Verzeichnis schützt Ihre persönlichen Daten vor anderen Benutzern im System sowie vor externen Eindringlingen. Darüber hinaus erschwert jede zusätzliche Verschlüsselungsstufe das Eindringen eines Angreifers. Auf meinem Sicherungslaufwerk, auf dem Bilder von Client-Computern gespeichert sind, von denen einige Kreditkarten- und Sozialversicherungsnummern enthalten, verwende ich die gesamte Festplattenverschlüsselung, gefolgt von einem verschlüsseltes Basisverzeichnis mit einem anderen Passwort und einem [PPP]: https://www.grc.com/ppp.htmCode. Für die Dinge mit den persönlichen Informationen der Leute werde ich sie zusätzlich in einen TrueCrypt-Container mit Kaskadenverschlüsselung stecken. Es ist wahrscheinlich übertrieben, aber es deckt alle Grundlagen ab. Jemand, der mein Laufwerk stiehlt, ist von allem gesperrt, jemand, der das laufende System irgendwie hackt, ist von meinen Dateien gesperrt, und jemand, der Konsolenzugriff erhält, während ich etwas sichern kann, erhält nur den aktuell entschlüsselten Sicherungssatz (was höchstwahrscheinlich der Fall ist) ihre eigenen Daten.)

Um zu entscheiden, welches Level Sie benötigen, müssen Sie vor allem herausfinden, welche möglichen Angriffe jemand auf Ihr System ausführen und ausschließen kann. Die gesamte Festplattenverschlüsselung ist wahrscheinlich mehr als ausreichend für 99% der Einzelplatzsysteme.