Назад | Перейти на главную страницу

Зашифрованный файл / сервер LAMP Ubuntu 14.04

У меня вопрос относительно самого безопасного метода шифрования файла и / или сервера LAMP с использованием Ubuntu 14.04.

При ручном разбиении диска я выбрал следующее:

/boot - 256 MB
/     - 51.4 GB (sda2_crypt)
swap  - 2 GB    (sda3_crypt)

Система загружается и запрашивает пароль шифрования как для корневого (/), так и для раздела подкачки.

У меня вопрос:

Насколько безопасна эта система, если я потеряю контроль над корневым разделом (т.е. кто-то украдет этот сервер)? Я понимаю, что загрузчик НЕ зашифрован - сможет ли кто-нибудь реально получить данные из корневой файловой системы?

Сценарий таков, что есть много конфиденциальных данных, которые я хочу зашифровать с использованием встроенного шифрования Ubuntu. И если кто-то украдет его, я надеюсь, что данные останутся в безопасности.

CAVEAT: Я понимаю, что при наличии достаточного количества времени и физического доступа к любой системе кто-то может получить данные из системы. Мой вопрос, является ли это «безопасной» настройкой, основанной на том факте, что раздел / boot НЕ зашифрован, и без значительных усилий по расшифровке данные все еще в безопасности?

ubuntu-14.04 disk-encryption

Это достаточно безопасно, но в то же время не так. Без парольной фразы невозможно расшифровать данные (конечно, есть уловка, позволяющая восстановить их. См. Это как) Если загрузка зашифрована, система не сможет загрузиться, так как невозможно загрузить ядро или инициализировать необходимые драйверы, такие как файловая система и т. Д.

В любом случае, всегда думайте, что шифрование помогает выиграть время, чтобы данные стали бесполезными, когда они уже расшифрованы. Например, в моем зашифрованном HD-устройстве ноутбука хранится конфиденциальная информация, такая как сохраненные пароли и ключи ssh. Если мой ноутбук был утерян / украден, я заменю их все, и не только реле на том, что шифрование не может быть взломано (потому что в конечном итоге это будет)

Если ваши данные настолько конфиденциальны, заплатите более безопасное место для вашего сервера, чтобы его не украли физически. Шифрование - это просто еще один уровень безопасности, но не серебряная пуля (в зависимости от параноидального уровня, которого заслуживает информация)