David Siegel Asked: 2010-07-29 11:39:48 +0800 CST2010-07-29 11:39:48 +0800 CST 2010-07-29 11:39:48 +0800 CST 安装时,我可以选择加密我的主文件夹——这是做什么的? 772 加密我的主文件夹会使我的计算机更安全吗? 如果我的主文件夹已加密,我是否需要输入更多密码? 关于加密我的主文件夹,我还应该知道什么? system-installation encryption ecryptfs 5 个回答 Voted Best Answer Marco Ceppi 2010-07-29T11:50:14+08:002010-07-29T11:50:14+08:00 简单地 加密您的主文件夹实际上并不能让您的计算机更安全 - 它只是让您的主文件夹中的所有文件和文件夹更安全,免遭未经授权的查看。 从安全角度来看,您的计算机仍然“易受攻击”——但您的内容很难被盗(除非攻击者知道您的密码)。 您无需像往常那样实际输入密码 - 当您登录计算机时,您的文件将在您的会话中无缝解密。 这有可能(取决于您的计算机硬件)会影响您机器的性能。如果您担心性能而不是安全性(并且您使用的是旧机器),您可能希望禁用此功能。 技术上 Ubuntu 使用“eCryptfs”将所有数据作为加密数据存储在一个目录(本例中为主文件夹)中。当用户登录时,该加密文件夹将使用第二个解密挂载挂载(这是一个类似于 tmpfs 的临时挂载 - 它在 RAM 中创建并运行,因此文件永远不会以解密状态存储在 HD 上)。这个想法是 - 如果您的硬盘驱动器被盗并且读取的内容无法读取,因为 Linux 需要使用您的身份验证运行才能创建成功的挂载和解密(密钥是基于 SHA-512 加密的数据几个用户方面-然后将密钥存储在您的加密密钥环中)。最终结果是技术上安全的数据(只要您的密码没有被破解或泄露)。 您将无需像往常一样输入密码。磁盘 I/O 和 CPU 略有增加(取决于您的计算机规格)可能会影响性能 - 尽管在大多数现代 PC 上它是非常无缝的 al-maisan 2010-07-29T11:46:47+08:002010-07-29T11:46:47+08:00 Ubuntu开发者自己写了一篇关于该主题的好文章,请参阅:http ://www.linux-mag.com/id/7568/1/ 概括: LUKS 和 dm-crypt 的组合用于 Linux 中的全盘加密。Ubuntu 使用 >= 9.10 版本的企业加密文件系统 (ECryptfs) 在登录时启用家庭驱动器加密。 创建一个上层和下层目录,其中上层目录未加密存储在 RAM 中,授予系统和当前用户访问权限。较低的目录传递原子的、加密的数据单元并存储在物理内存中。 文件和目录名称使用单个挂载范围的 fnek(文件名加密密钥)。每个加密文件的标头包含一个 fek(文件加密密钥),用一个单独的挂载范围 fekek(文件加密密钥,加密密钥)包装。Linux 内核密钥环管理密钥并通过其通用密码提供加密。 与典型的全盘加密解决方案不同,使用 eCryptfs PAM(可插入身份验证模块)不会破坏无人值守的重启。 eCryptfs 分层文件系统支持按文件、增量、加密备份。 Jan 2011-10-28T12:33:12+08:002011-10-28T12:33:12+08:00 OP 要求的技术回答较少。 在 Ubuntu 中通过 ecryptfs 加密 Home 的安全优势: 不需要记住或输入任何额外的密码或密钥。 不会使您的计算机在网络上更安全,例如在互联网上。 如果计算机在多个用户之间共享,则为其他用户访问您的文件提供了额外的障碍。(困难的技术讨论。) 如果攻击者获得对您计算机的物理访问权,例如窃取您的笔记本电脑,这将保护您的数据不被窃贼读取。(如果计算机关闭,他们无法在没有密码的情况下读取您的数据。如果计算机已打开并且您已登录,小偷可能会窃取您的数据,但需要更高级的攻击,因此不太可能。) Neil Vandermeiden 2016-04-07T11:37:33+08:002016-04-07T11:37:33+08:00 关于加密主文件夹,您还应该知道的是,当您未登录时,其中的数据无法访问。如果您有一些自动或外部进程(如 crontab)试图访问这些数据,它会很好用在你看的时候,但在你不看的时候失败。调试起来非常令人沮丧。 zkriesse 2010-08-07T11:02:26+08:002010-08-07T11:02:26+08:00 您的实际系统的安全性并不取决于您的文件、文件夹和文档的安全性……它所做的只是使它们更加安全,不被窥探……
简单地
技术上
Ubuntu 使用“eCryptfs”将所有数据作为加密数据存储在一个目录(本例中为主文件夹)中。当用户登录时,该加密文件夹将使用第二个解密挂载挂载(这是一个类似于 tmpfs 的临时挂载 - 它在 RAM 中创建并运行,因此文件永远不会以解密状态存储在 HD 上)。这个想法是 - 如果您的硬盘驱动器被盗并且读取的内容无法读取,因为 Linux 需要使用您的身份验证运行才能创建成功的挂载和解密(密钥是基于 SHA-512 加密的数据几个用户方面-然后将密钥存储在您的加密密钥环中)。最终结果是技术上安全的数据(只要您的密码没有被破解或泄露)。
您将无需像往常一样输入密码。磁盘 I/O 和 CPU 略有增加(取决于您的计算机规格)可能会影响性能 - 尽管在大多数现代 PC 上它是非常无缝的
Ubuntu开发者自己写了一篇关于该主题的好文章,请参阅:http ://www.linux-mag.com/id/7568/1/
概括:
LUKS 和 dm-crypt 的组合用于 Linux 中的全盘加密。Ubuntu 使用 >= 9.10 版本的企业加密文件系统 (ECryptfs) 在登录时启用家庭驱动器加密。
创建一个上层和下层目录,其中上层目录未加密存储在 RAM 中,授予系统和当前用户访问权限。较低的目录传递原子的、加密的数据单元并存储在物理内存中。
文件和目录名称使用单个挂载范围的 fnek(文件名加密密钥)。每个加密文件的标头包含一个 fek(文件加密密钥),用一个单独的挂载范围 fekek(文件加密密钥,加密密钥)包装。Linux 内核密钥环管理密钥并通过其通用密码提供加密。
与典型的全盘加密解决方案不同,使用 eCryptfs PAM(可插入身份验证模块)不会破坏无人值守的重启。
eCryptfs 分层文件系统支持按文件、增量、加密备份。
OP 要求的技术回答较少。
在 Ubuntu 中通过 ecryptfs 加密 Home 的安全优势:
关于加密主文件夹,您还应该知道的是,当您未登录时,其中的数据无法访问。如果您有一些自动或外部进程(如 crontab)试图访问这些数据,它会很好用在你看的时候,但在你不看的时候失败。调试起来非常令人沮丧。
您的实际系统的安全性并不取决于您的文件、文件夹和文档的安全性……它所做的只是使它们更加安全,不被窥探……