Data z jakéhokoli spuštěného programu mohou skončit ve swapu, takže váš odkládací prostor musí být také zašifrován. Pokud nechcete systém hibernovat, odkládací prostor lze zašifrovat náhodným klíčem, který se generuje při každém spuštění. To je výchozí případ, pokud během instalace zvolíte šifrování celého disku, ale nikoli, pokud později pouze zašifrujete svůj domovský adresář. Pokud váš odkládací prostor ještě není zašifrován, nastavte jej pomocí `ecryptfs-setup-swap. Pokud chcete mít odkládací prostor i hibernaci, přečtěte si část Povolení režimu spánku pomocí šifrovaného odkládání v dokumentaci komunity Ubuntu.
Mnoho programů vkládá dočasné soubory do /tmp
. Nejlepší způsob, jak to zvládnout, je zadat /tmp
na pamětí zálohovaném souborovém systému tmpfs namísto ponechání na diskem zálohovaném souborovém systému. Je tu také mírná výkonnostní výhoda. Podívejte se na tento zápis, jak to udělat.
Kromě toho mohou soukromá data skončit na různých místech, která nejsou vaším soukromým úložištěm. Musíte se rozhodnout na základě toho, co považujete za důvěrné, zda se vyplatí tyto oblasti šifrovat. Zde jsou některá pozoruhodná místa:
- Pokud poštu přijímáte lokálně (na rozdíl od načítání ze serveru POP nebo IMAP), dorazí v
/var/mail
. Pokud posíláte poštu pomocí tradiční unixové metody (sendmail
), prochází přes/var/spool/postfix
(nebo jaká je vaše MTA). Pokud tomuto odstavci nerozumíte, netýká se vás. - Pokud nastavíte opakující se úlohy, budou uloženy v
/var/spool/cron
. - Když něco vytisknete, přejde to v
/var/spool/cups
. - Systém se přihlásí pod
/var/log
mohou obsahovat data, která byste raději uchovali v soukromí, například chyby sítě z webů, ke kterým jste se pokusili připojit nebo z nichž jste se pokusili připojit. - Konfigurace vašeho systému v
/etc
může mít několik důvěrných věcí, jako jsou hesla ISP nebo wifi.
Pokud zašifrujete svůj domovský adresář pomocí ecryptfs, mějte na paměti, že nebude připojen, pokud se vzdáleně přihlásíte pomocí SSH a nejste přihlášeni místně, takže pokud to uděláte, váš soubor veřejného klíče SSH (~/.ssh/authorized_keys
) musí být přítomen v zašifrované i čisté textové podobě.
Záleží na tom, co hodláte zajistit. Pokud vše, co chcete mít v bezpečí, sídlí v /domě/, pak jste zlatí. Jinak ne.
Například /var/spool/mail/
obsahuje systémový e-mail odeslaný vašemu uživateli. /var/spool/cron/
obsahuje vaše crontabs. A pokud se obáváte, že se do vaší bezpečnosti zaplete zákeřný aktér s místním přístupem (scénář „zlá panna“), pak to rozhodně není dostatečný.
Šifrování Homedir je pohodlné a jednoduché a umožňuje vám chránit vaše osobní věci před vaší velkou sestrou. Ale není to šifrování celého disku, což je pravděpodobně to, co chcete, pokud se ptáte na tuto otázku.
Neúspěšné pokusy o přihlášení jsou poměrně omezeny pokud by to bylo provedeno prostřednictvím PAM, ale útoky hrubou silou proti vašemu šifrování by byly stejně offline, takže váš operační systém to nezohledňuje.