关于系统全盘加密的一些疑问?(bitlocker,luks,veracrypt)
需求:1,系统全盘加密
2,登陆时只用输入一次密码
3,不登陆系统也能运行服务
解析:
1,陈老师之鉴,应该重视,虽然没有那么重要的东西,也不需要很复杂的加密;
哪天设备或者硬盘不小心遗落,至少别人看不到内容。
2,以前用过一次没有tpm的bitlocker,首先开机需要输一次密码,然后才进Windows;
而且密码必须设置的非常复杂。
而且现在有些旧的机器没有TPM
现在因为Win11要求TPM,这次了解了下,可以配合TPM设置Pin码来登录,硬件有变动才
需要输入恢复密码
Linux下的LUKS用过一次,但只是非系统的数据盘
3,不登陆情况下,也希望能运行服务;因为想作为文件同步(另一个咨询贴)的节点
这需求有解吗?
THX
如果你的设备本身就是不安全的(可能被偷),那无解
如果你的设备是安全的,只是想防硬盘坏了送修数据泄漏的话那可以
你可以设置bitlocker,启用usb key + 密码解锁
在家中可以插着USB key,无感解密,在外手舒密码 回忆and无语 发表于 2021-11-18 11:31
如果你的设备本身就是不安全的(可能被偷),那无解
如果你的设备是安全的,只是想防硬盘坏了送修数据泄漏 ...
别的我不知道,bitlocker被偷怎么无解了? 我目前的Windows + Linux方案(关闭TPM),双硬盘 + FAT32 U盘一个
Windows:组策略里改为不要求TPM但要求TPM Startup Key,然后可以用BitLocker加密C盘,将密钥文件放在U盘上(应该是扩展名为bek的隐藏文件)。其余盘同样加密但设为自动解锁。
Linux:FAT32的/boot/efi(与Windows共用)和Ext4的/boot非加密,root分区先用LUKS加密(无密码,从/dev/random读取一个64byte=512bit的密钥文件)再建ext4文件系统,无swap分区。该密钥文件放在同一个U盘里,然后通过修改/etc/crypttab来实现,格式大概是这样
sdb3_rootUUID=xxxyyyzzz /dev/disk/by-uuid/abcd-1234:/usb-key-file.bin luks,discard,keyscript=/lib/cryptsetup/scripts/passdev
其中sdb3_root为你给root分区起的名字(解密后可在/dev/mapper/里看到),第一个UUID是解密前该分区的UUID,第二个/dev/by-disk/abcd-1234是U盘的UUID,bin文件是前述的512bit密钥
现在开机或重启时,需把U盘插入电脑进入两个操作系统中任何一个(否则硬盘不解密),登录任何一个操作系统都只需输入一次密码。只要硬盘解密成功,Linux下的服务可以无登录正常运行。为了安全和方便兼顾,可以把linux用户设一个简单密码,但把远程ssh密码登录禁止掉,仅允许ssh key验证。 强尼高达 发表于 2021-11-18 11:53
别的我不知道,bitlocker被偷怎么无解了?
bitlocker本身没问题,
楼主要求不登陆系统也能运行服务,那就只能用tpm这样的无感解密(不设置pin)或者插着USB key,这样整台被偷就可能泄漏数据 回忆and无语 发表于 2021-11-18 11:58
bitlocker本身没问题,
楼主要求,那就只能用tpm这样的无感解密(不设置pin)或者插着USB key,这样整台 ...
TPM解密在Windows启动时候就完成了,login动作只是解锁桌面
开机login之后不要关机(只休眠或睡眠)或者自动login进一个运行服务专用的低权限账户都不会影响数据加密 可以参考下Ubuntu官方的教程: https://help.ubuntu.com/community/Full_Disk_Encryption_Howto_2019
这个在最新的20.4上也可以,但需要有些Linux基础 bitlock就可以啊。原理和手机的全盘加密一样。依赖于系统用户的密码。如果进不了系统就解不开数据。所以新的安卓手机现在被盗很难发生数据泄露了。
页:
[1]