当我在我的设备上安装 Debian Buster(带有 4.19 内核)时,我选择了使用全盘加密的引导式分区。
所以当前设置是 LUKS 上的 LVM,并且 /boot 是未加密的:
user@HOST:~$ lsblk -f
NAME FSTYPE LABEL UUID FSAVAIL FSUSE% MOUNTPOINT
sda
├sda1 ext2 a81YDwjp-q50N-nbZH-JLwr-Djhhe0aDxI6 94,4M 55% /boot
├sda2
└sda5 crypto_LUKS E5ZYjKug-zrNW-yW4Q-jwFD-MdgSY08zqKo
└sda5_crypt LVM2_member aJTjWXcR-Nxth-LcnV-5tzp-iBzbCU0zy8d
├HOST--vg-root ext4 PHVJaGjc-46vv-u5co-fXxd-NCZJUkzK21Q 129,1G 5% /
└HOST--vg-swap_1 swap 1XZehc8C-2yKA-Y8Qr-eCc1-EI3ezAgVNBo [SWAP]
现在最好改进此设置并使用临时密钥加密交换卷。但这是为什么呢?毕竟交换已经加密,因为它驻留在加密的硬盘上。顺便说一句,我不使用休眠。
我想要的是从我系统上的额外加密层中获得尽可能多的好处。例如,我先在本地加密一些数据,然后再将其备份到远程位置。如果完整的硬盘加密被击败,这种加密也可以作为第二道防线......但前提是在这种情况下交换不可读。
从默认的 Debian 配置开始(即无需循环重新安装),有没有办法用临时密钥加密交换?