Apakah mengenkripsi direktori home pada instalasi LVM terenkripsi berlebihan?

14

Saya menginstal dari CD alternatif dan menggunakan hard drive terenkripsi LVM.

Pemasang sekarang bertanya apakah saya ingin mengenkripsi direktori rumah saya, apakah ini berlebihan?

Joey BagODonuts
sumber
baru saja menemukan ini roner70.blogspot.com/2010/05/ ... .. meskipun mereka tidak menjelaskan mengapa ini adalah ide yang buruk? masukan apa pun dihargai.
Joey BagODonuts
Ini benar-benar pilihan pribadi - mengenkripsi direktori home jika Anda memiliki informasi sensitif yang Anda tidak ingin dijadikan 'publik' dalam hal pencurian / kehilangan komputer mungkin merupakan keharusan saya pikir, tetapi jika itu hanya mendapat info umum Anda ..... tidak terlalu menjadi perhatian. menggunakan metode yang diuraikan Anda mengenkripsi disk dan semakin kuat kata sandi yang Anda gunakan akan mencegah pencuri rata-rata jika terlalu banyak upaya untuk masuk ke data Anda.
Mark Rooney

Jawaban:

7

Ini berlebihan bagi sebagian besar sistem. Dengan "LVM terenkripsi", Anda mungkin bermaksud "LUKS" ( Linux Unified Key Setup ).

Mengenkripsi direktori home melindungi Anda dari:

  • pengguna lain di sistem yang sama mengakses file Anda
  • pencurian data saat mesin dicuri / hilang

Tetapi tidak dari:

  • Modifikasi pengaturan sistem atau file (termasuk binari) di luar direktori home pengguna. Dengan cara ini, administrator (atau siapa pun dengan akses fisik dan LiveCD) dapat menginstal program yang menyalin / memodifikasi file / pengaturan di direktori home Anda.

Enkripsi sistem Anda menggunakan LUKS (enkripsi disk lengkap untuk penginstal alternatif):

  • pencurian data saat mesin dicuri / hilang
  • integritas data: siapa pun yang tidak tahu frasa sandi LUKS Anda tidak dapat mengubah pengaturan atau file sistem Anda, meskipun Anda masih tidak terlindungi dari Serangan Pembantu Jahat .

Jadi, jika Anda adalah satu-satunya pengguna sistem, mengenkripsi direktori home Anda tidak menambah perlindungan yang signifikan dan hanya akan memperburuk kinerja. Anda juga tidak boleh melakukannya jika Anda membagikan mesin Anda kepada orang-orang yang dapat Anda percayai dan komputer Anda tidak mengandung informasi rahasia. Kasus terakhir: jika Anda berbagi mesin dan ada beberapa sistem operasi yang diinstal pada mesin dan Anda satu-satunya yang mengetahui kata sandi, masih tidak perlu mengenkripsi direktori home Anda.

Lekensteyn
sumber
4

Apakah itu berlebihan atau tidak tergantung pada keadaan Anda. Direktori rumah terenkripsi akan melindungi data pribadi Anda dari pengguna lain di sistem maupun dari pengganggu luar. Selain itu, setiap tingkat enkripsi tambahan mempersulit penyerang untuk menerobos masuk. Pada drive cadangan saya, yang memiliki gambar mesin klien, beberapa di antaranya berisi nomor kartu kredit dan jaminan sosial, saya menggunakan seluruh enkripsi disk, diikuti oleh direktori rumah terenkripsi dengan kata sandi berbeda dan [PPP]: https://www.grc.com/ppp.htmkode. Untuk hal-hal dengan informasi pribadi orang, saya juga akan memasukkannya ke dalam wadah TrueCrypt dengan enkripsi berjenjang. Ini mungkin berlebihan, tetapi mencakup semua pangkalan. Seseorang yang mencuri drive saya terkunci dari segalanya, seseorang yang entah bagaimana meretas sistem yang sedang berjalan terkunci dari file saya, dan seseorang yang mendapatkan akses konsol sementara saya memilikinya mendukung sesuatu hanya mendapatkan set cadangan yang saat ini didekripsi (Yang kemungkinan besar adalah data mereka sendiri.)

Memutuskan level apa yang Anda butuhkan sebagian besar adalah masalah menemukan kemungkinan serangan yang mungkin dilakukan seseorang terhadap sistem Anda dan mengunci mereka. Enkripsi seluruh disk mungkin lebih dari cukup untuk 99% sistem pengguna tunggal.

Perkins
sumber