Я видел в Интернете различные руководства и рекомендации о том, как это лучше всего сделать, но ничего, что четко объясняло бы лучший способ и почему. Итак, я понимаю, что во время установки необходимо, чтобы часть Debian была незашифрована на отдельном разделе, чтобы он мог загрузиться. Большая часть информации, которую я видел, - это вызвать / boot и установить флаг загрузки. Затем я считаю, что лучший подход - создать еще один раздел из всего остального дискового пространства, зашифровать его, затем, помимо этого, создать LVM, а затем в LVM создать мои различные разделы, назвать их, выбрать размер и файл. тип системы. Могу ли я включить / поменять местами зашифрованную часть LVM? Это разумный подход? Если да, то какие разделы мне следует использовать (это будет минимальная установка сервера с целью установки по мере необходимости, что мне нужно для сервера разработки)? Наконец, как установщик узнает, что поместить в каждый определяемый мной раздел?
Я ценю, что есть более одного вопроса, но мы будем благодарны за любую помощь и предложения. Если необходимы дополнительные разъяснения, укажите в комментариях.
РЕДАКТИРОВАТЬ: 16/3/2010
После ответа Ричарда Холлоуэса я подумал, что уместно добавить эту информацию:
Причины, по которым я хочу это сделать, заключаются в том, чтобы изучить максимальную безопасность на любом установленном и настроенном сервере из-за интереса к области компьютерной безопасности и криминалистики. Также я пытаюсь выполнить задачу, как если бы она выполнялась на предприятии.
С технической точки зрения, после установки и настройки с минимальными пакетами и ssh к этому серверу будет физически непросто получить доступ, поэтому я буду входить только через ssh. (Да, я знаю, зачем шифровать то, что никто никогда не сможет достать? Простой ответ - это потому, что я могу и хочу, но также см. Выше).
Зачем вообще его шифровать? Я играю здесь адвоката дьявола, но не без причины.
Есть веские причины для шифрования съемных дисков, ноутбуков и других портативных устройств на случай их утери.
Я полагаю, вы можете потерять сервер, если кто-то украдет его или получит к нему локальный доступ.
Для ноутбуков и других персональных компьютеров вы можете ввести парольную фразу, чтобы сервер мог расшифровывать устройства при загрузке или по мере необходимости.
Вы можете сделать это на сервере? Если сервер не требует этого вмешательства и может расшифровать устройства при загрузке, сервер не более безопасен для шифрования.
Ответ в том, что это зависит от ваших обстоятельств и того, чего вы пытаетесь достичь. Нет правила, согласно которому вы должны шифровать все, и если вы не знаете, зачем вы это делаете, я подозреваю, что вам не нужно.
На основе вашего редактирования:
Я бы разбил диск так:
Первый раздел 100 МБ смонтирован в / boot как ext3
Остальная часть диска отформатирована как зашифрованный LVM.
Затем я разбиваю раздел LVM следующим образом:
Создайте группу томов vg0
Создайте эти логические тома:
/ dev / vg0 / root смонтирован на / root как ext3 размером 3 ГБ
/ dev / vg0 / swap используется как пространство подкачки, вдвое больше ОЗУ
/ dev / vg0 / var смонтирован на / var как ext3 размером 7 ГБ
/ dev / vg0 / home смонтирован на / home как ext3, используя оставшееся свободное пространство.
Затем зашифровывается все, кроме / boot.
Зависит от раздачи. В общем, вы должны зашифровать все (читается как: swap должен быть томом в зашифрованном LVM). Незашифрованный материал следует хранить на компакт-диске, который остается только у вас, или убедитесь, что его никто не заменит. Ставьте пароль в BIOS и загружайтесь только с CD-ROM.