it-swarm.com.de

Was bringt es, das Home-Verzeichnis zu verschlüsseln?

Wenn ich ein gutes Passwort ausgewählt und es geheim gehalten habe, wozu muss ich dann mein Home-Verzeichnis als Setup-Option mit einigen Linux-Varianten während des Setups verschlüsseln?

Halten die Linux-Berechtigungen nicht unerwünschte Augen von meinen Sachen fern?

50
Jon Wadsworth

Der Punkt ist, vor dem Zugriff auf Ihre Festplatte außerhalb des Betriebssystems zu schützen.

Die Verschlüsselung ist nützlich gegen Angreifer, die physischen Zugriff auf Ihren Computer haben. Ohne sie wäre es trivial, den Inhalt Ihres Home-Verzeichnisses auszulesen, indem Sie beispielsweise einen Live-Boot-USB-Stick anschließen.

105
tim

Die Linux-Berechtigungen funktionieren nur auf Ihrem eigenen System. Wenn Sie die Festplatte nehmen und in einen anderen Computer einlegen oder einfach ein anderes Betriebssystem auf demselben Computer starten, der Ihre Linux-Partition lesen kann, werden Sie deutlich sehen, dass die Berechtigungen Sie nicht daran hindern, auf den Inhalt Ihres Home-Verzeichnisses zuzugreifen.

30
Gilles

Zusätzlich zu den Antworten gibt es einige kleinere Einschränkungen, die bei diesen verschlüsselten Konfigurationen beachtet werden müssen.

Wenn Sie nicht an Ihrem System angemeldet sind, können Sie nicht auf Daten in Ihrem Home-Verzeichnis im Klartext zugreifen. Dies ist natürlich beabsichtigt. Dies verhindert, dass ein Angreifer Zugriff auf Ihre Dateien erhält. Dies bedeutet jedoch, dass:

  • Ihre Cronjobs haben möglicherweise keinen Zugriff auf Ihr Home-Verzeichnis
  • Die Authentifizierung mit öffentlichem SSH-Schlüssel in Ihrem System funktioniert ebenfalls nicht, es sei denn, Sie legen Ihren öffentlichen Schlüssel irgendwo außerhalb Ihres Home-Verzeichnisses ab und verknüpfen ihn symbolisch mit Ihren nicht gemounteten $ HOME/.ssh/autorisierten_ Schlüsseln.

Sie können Ihre autorisierten Schlüssel direkt in Ihrem unverschlüsselten Ausgangsverzeichnis ablegen, indem Sie diesen Anweisungen folgen, ohne sie irgendwo anders verknüpfen zu müssen. https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/362427/comments/12

14
Josip Ivic

Wenn Sie keine Festplattenverschlüsselung verwenden, sollten Sie die Verschlüsselung des Basisverzeichnisses verwenden. Andernfalls kann jeder Benutzer mit physischem Zugriff auf den Computer über den Betriebssystemzugriff verfügen.

Wenn Ihr Angreifer mit physischem Zugriff die Festplatte entfernen, eine Verbindung zu einem externen Lesegerät herstellen, das Ausgangsverzeichnis kopieren, Daten stehlen und die Festplatte wieder in den Computer einlegen kann. Abhängig davon, welche Daten Sie in Ihrem Home-Verzeichnis gespeichert haben, können die Dinge ziemlich problematisch werden.

Hoffe das gab dir einen Einblick ...

3
Nathaniel Suchy

Der Grund, warum Sie Ihr Home-Verzeichnis verschlüsseln, dient der Sicherheit. Wie bereits erwähnt, gibt es verschiedene Vor- und Nachteile bei der Verschlüsselung Ihres Home-Verzeichnisses. Wenn Sie Ihr Home-Verzeichnis verschlüsseln möchten, müssen Sie auch das Verschlüsselungskennwort von Ihrem Anmeldekennwort unterscheiden. Bei jedem Systemstart werden Sie nach zwei Kennwörtern gefragt, Ihrem Anmeldekennwort und Ihrem Verschlüsselungskennwort für das Ausgangsverzeichnis. Wenn in dieser Situation Ihr Laufwerk oder Computer gestohlen wird, hat der Dieb keinen Zugriff auf Ihr verschlüsseltes Ausgangsverzeichnis. Selbst wenn Sie den Computer mit einem Live-System (CD-ROM/DVD/USB-Stick) hochfahren, kann der Dieb nicht auf Ihr verschlüsseltes Home-Verzeichnis zugreifen. Der Dieb würde nur Müll in Ihrem Home-Verzeichnis sehen, da er nicht über das Verschlüsselungskennwort verfügt. Ihr Login-Passwort würde dem Dieb in keiner Weise helfen. Hoffe das hilft.

2
Larry

Das verschlüsselte Ausgangsverzeichnis auf einem Computer sollte weniger zugänglich sein, falls der Computer oder einige seiner Teile gestohlen werden oder ohne entsprechende Rechte darauf zugegriffen werden kann.

Die Verschlüsselung kann hilfreich sein, wenn Sie private oder vertrauliche Informationen schützen müssen, die Sie in Ihrem Home-Verzeichnis speichern.

2
simhumileco

Die Antworten (insbesondere die von tim ) beantworten bereits die Frage, warum Sie das Home-Verzeichnis verschlüsseln möchten. Es gibt jedoch eine Einschränkung, über die niemand gesprochen hat.

Das Verschlüsseln nur des Home-Verzeichnisses unter Linux ist eine schlechte Sicherheit.

  1. Einige Anwendungen speichern temporäre Dateien in /tmp Und /var/run (Oder nur /run, Die ein weicher Link zu /var/run Sein sollten). Obwohl das Ausgangsverzeichnis geschützt ist, werden diese temporären Dateien im Klartext gespeichert, und ein kompetenter Angreifer prüft die temporären Dateien.

    /tmp Und /var/run (Und /run) Sollten entweder ebenfalls verschlüsselt oder als tmpfs (ein Dateisystem im Speicher, aber für diese Option gelesen) gemountet werden der nächste Punkt).

  2. Das swap ist ein weiterer Ort, an dem Anwendungen eine Datei in Klartext speichern können. Die Anwendung hat die Datei im Speicher und der Kernel kann die Speicherseiten austauschen, die die Datei enthalten (die sich im Klartext im Speicher befindet). Dies geschieht auch bei Dateien in einem tmpfs.

    Wenn auf einem Computer etwas verschlüsselt ist, sollten Sie auch den Swap immer verschlüsseln. Andernfalls kann ein kompetenter Angreifer die Swap-Partition nach Dateisignaturen durchsuchen und vollständige (oder Teile von) Dateien im Klartext abrufen.

Wenn Sie über eine vollständige Festplattenverschlüsselung verfügen (auf allen Festplatten des Systems), sind dies keine Bedenken.

1
grochmal