実行中のプログラムからのデータは最終的にスワップになる可能性があるため、スワップ領域も暗号化する必要があります。システムを休止状態にしたい場合を除き、スワップ スペースは、起動のたびに生成されるランダム キーで暗号化できます。これは、インストール時にフルディスク暗号化を選択した場合のデフォルトのケースですが、後でホーム ディレクトリを暗号化するだけの場合はそうではありません。スワップ領域がまだ暗号化されていない場合は、「ecryptfs-setup-swap.スワップ スペースと休止状態の両方が必要な場合は、Ubuntu コミュニティ ドキュメントの「暗号化されたスワップで休止状態を有効にする」を参照してください。
多くのプログラムは /tmp に一時ファイルを置きます .これを処理する最善の方法は、 /tmp を配置することです ディスクにバックアップされたファイルシステムに残すのではなく、メモリにバックアップされたファイルシステム tmpfs に。また、わずかなパフォーマンス上の利点もあります。これを行う方法については、この記事を参照してください。
これを超えて、プライベート データは、プライベート ストレージ領域ではないさまざまな場所に配置される可能性があります。これらの領域を暗号化する価値があるかどうかは、機密と見なすものに基づいて決定する必要があります。ここにいくつかの注目すべき場所があります:
- (POP や IMAP サーバーから取得するのではなく) ローカルでメールを受信すると、
/var/mailで到着します。 .従来の UNIX 方式 (sendmail) を使用してメールを送信する場合 )、/var/spool/postfix経由で通過します (またはあなたのMTAが何であれ)。この段落を理解していない場合、それは当てはまりません。 - 定期的なタスクを設定すると、
/var/spool/cronに保存されます . - 何かを印刷すると
/var/spool/cupsで遷移します . /var/logの下のシステム ログ 接続を試みたサイトからのネットワーク エラーなど、非公開にしたいデータが含まれている可能性があります。/etcでのシステム構成 ISP や Wi-Fi のパスワードなど、機密情報がいくつか含まれている可能性があります。
ecryptfs でホームディレクトリを暗号化する場合、ローカルでログインせずに SSH でリモートでログインするとマウントされないので注意してください。そうすると、SSH 公開鍵ファイル (~/.ssh/authorized_keys ) は、暗号化された形式と平文形式の両方で存在する必要があります。
何を確保するかによります。安全に保ちたいものすべてが /home/ にあるなら、あなたは完璧です。そうでなければ、いいえ。
例:/var/spool/mail/ ユーザーに送信されるシステム メールが含まれます。 /var/spool/cron/ あなたのcrontabが含まれています。また、ローカル アクセスを持つ悪意のあるアクター (「邪悪なメイド」シナリオ) がセキュリティを台無しにすることを心配している場合、それは間違いなくそうではありません。 十分な。
Homedir 暗号化は便利でシンプルで、個人的なものを姉から守ることができます。ただし、これはディスク全体の暗号化ではありません。この質問をしている場合は、おそらくそれが必要です。
ログイン試行の失敗は制限されています PAM を介して行われた場合でも、暗号化に対するブルート フォース攻撃はとにかくオフラインになるため、OS は考慮されません。