我打算在我的电脑上安装 Ubuntu。我研究了安装说明,发现其中一个步骤是选择是否将加密 Ubuntu 系统。我了解加密可以提高安全性。如果没有加密的计算机被盗,窃贼可以通过使用引导盘绕过 Linux 登录来访问数据。但是,我读到加密也有一些可能的缺点,但我读到的内容对我来说并不完全清楚。我想知道是否有人可以澄清这个问题。
一篇关于加密利弊的文章在
https://www.makeuseof.com/tag/4-reasons-encrypt-linux-partitions/
如本文所述,一个明显的缺点是如果用户忘记了他或她的加密密钥,则计算机上的数据将变得无法访问。我会选择一个我永远不会忘记的加密密钥。所以,这对我来说应该不是问题。文章指出,另一个缺点是加密会降低计算机的速度,但这对于今天的机器来说并不是什么大问题。
该文章还声称,如果操作系统出现问题,加密会使数据检索更加困难。我发现对这一点的解释令人困惑,我想知道是否有人可以详细说明这一点。
我知道人们可以选择加密整个硬盘驱动器,只加密主目录,或者只加密主目录的某些部分。我会对加密整个硬盘驱动器或主目录感兴趣,我想知道这两个选项的优缺点如何比较。
我知道在安装 Ubuntu 时只能加密整个硬盘驱动器,但可以随时加密主目录。那是对的吗?
由于我的所有数据都在主目录中,因此我认为不需要加密整个硬盘驱动器。我是否正确,这样做没有优势,并且加密主目录足以保护数据免受计算机窃贼的侵害?
如果我只加密主目录,从损坏的 Ubuntu 系统中检索数据会比加密整个硬盘驱动器更容易吗?如果只加密主目录,数据检索也会成为问题吗?
我怀疑只有加密主目录的机器会比拥有完全加密硬盘驱动器的计算机运行得更快。那是对的吗?
文章指出,如果 Linux 操作系统出现问题,则可能需要恢复磁盘,如果磁盘已加密并且忘记了密钥,则无法恢复。我看不出加密恢复盘的理由,因为它不包含个人数据。即使恢复磁盘没有加密,在具有加密硬盘驱动器或主目录的系统上恢复是否仍然很困难?
我明白我应该定期备份我的数据。尽管如此,我还是希望数据检索尽可能简单。我也明白,计算机加密仅在有人物理窃取机器的情况下保护隐私,并且始终需要额外的安全措施。
最后,如果我遗漏了任何潜在的问题,那么我会很感激有人向我指出这些问题。
谢谢您的帮助。
加密笔记本电脑的好处确实是在笔记本电脑被盗时无法访问数据。对于日常使用,您永远不会注意到驱动器已加密。加密和解密存储数据所需的额外开销在现代笔记本电脑上实际上并不明显。
是否加密,如何配置系统等只是次要的。一个坏掉的操作系统很容易在不到一个小时内再次下载并重新安装。
最重要的是为您的个人数据提供良好的备份策略。您的个人数据是独一无二的,丢失后将永远无法再次下载。因此,首先请确保您有一些最新的个人数据备用副本。任何时候。无论您是否加密,无论您使用 Linux、Windows 还是 MacOS,您的计算机总有可能出现问题。
关于加密与否,由您决定。如果您认为当笔记本电脑被盗或有人试图访问时,没有人会获取您的数据非常重要,那么请加密。就个人而言,我不知道,但这是我唯一的决定。总是需要做出平衡:更多的安全性通常意味着更少的便利性。如果对硬盘进行数据加密,失去的便利性是,对于日常使用来说,几乎什么都没有——你只需要在启动时提供一个密码,如果没有加密,你就不需要这样做。
具体问题的答案
至关重要的是,您确实不要忘记:否则没有人可以再次访问驱动器。
就是这样。
您必须首先确保永远不需要数据检索,因为您有良好的数据备份。所以这不是一个关键点。
您可能可以自己想象,加密的数据在设计上更难访问,因此请检索。即使文件系统消失了,仍然可以识别未加密的二进制数据并将其从磁盘雕刻成可用的文件(使用诸如 之类的工具
photorec。当然,如果磁盘上的数据被乱码加密。Ubuntu 曾经支持开箱即用的主目录加密,但现在不支持了。最彻底,实际上也是最简单的加密形式是更深层次的加密,即实际文件系统的加密。
是的,您可以自己安装并启用每个目录的加密。
出于实际目的,如果您想要加密,您也可以加密整个驱动器。该选项集成在操作系统中,而其他加密方式必须手动设置。加密系统文件确实没有太多优势,但也没有劣势。无论如何,请阅读此Stackexchange 网站上有关安全性的一些建议。
如果我只加密主目录,从损坏的 Ubuntu 系统中检索数据会比加密整个硬盘驱动器更容易吗?如果只加密主目录,数据检索也会成为问题吗?
并不是说你会注意到。
如果一个系统发生故障,有不同的可能方法可以让它恢复活力。有一个总是有效的,这对于桌面用户来说可能是最简单的:从头开始重新安装并从备份中恢复数据。如果卷被加密,则在恢复提示或从恢复磁盘操作损坏的系统会有些复杂,因为确实需要解密该卷。当然,密码丢失也是不可能的。
把它作为你的首要任务。其他都是次要的。如果您的个人数据是安全的,即使您的笔记本电脑掉入游泳池也是安全的。
如果您进行了备份,那么您已经拥有了最简单的数据检索方式。只需将数据复制回系统即可。
是的,你需要照顾好你的东西。
没有,如果我让您相信,作为桌面用户,您已经准备好使用良好的、最新的和当前的备用副本。
除了@vanadium 的出色回答,我还想补充几点。
可以完全加密已安装的系统。这并不容易,但可以使用
cryptsetup reencrypt或通过对文件系统进行映像并将其还原到加密容器中来实现。如果中断或执行不正确,这两种方法都可能导致数据丢失,因此无论如何您都应该拥有最新的备份。如果您的设置不复杂,那么使用加密重新安装并从备份恢复可能会更容易。尽量使您的备份程序尽可能方便——最好是完全自动化的。越不方便,您越有可能跳过备份。考虑使用专用备份工具,而不是手动复制文件。找出最适合您的方法以及您可以容忍多少数据丢失。(一个月?一周?一天?)
如果无法恢复,备份就毫无价值,因此请确保您的程序确实有效,并且它可以快速满足您的需求。在你需要它之前测试它,因为它可能已经太晚了。
某些软件可能会将文件存储在主目录之外,因此请在您的计划中考虑这一点。值得注意的是 Docker 将用于
/var/lib/docker存储图像和容器数据。加密为您提供的不仅仅是数据盗窃保护。它还可以保护您免受未经授权的个人(邪恶的女仆攻击)篡改系统。您可能不需要这种保护。如果你这样做了,那么:
再一次,这对于您的需求来说可能是多余的。找出你的威胁模型并做出相应的计划。