Daten von jedem laufenden Programm können im Swap landen, daher muss auch Ihr Swap-Speicher verschlüsselt werden. Sofern Sie Ihr System nicht in den Ruhezustand versetzen möchten, kann der Auslagerungsbereich mit einem zufälligen Schlüssel verschlüsselt werden, der bei jedem Start generiert wird. Dies ist standardmäßig der Fall, wenn Sie während der Installation die Festplattenverschlüsselung auswählen, nicht aber, wenn Sie lediglich Ihr Home-Verzeichnis nachträglich verschlüsseln. Wenn Ihr Auslagerungsbereich noch nicht verschlüsselt ist, richten Sie ihn mit `ecryptfs-setup-swap. Wenn Sie sowohl Swap Space als auch Hibernation haben möchten, lesen Sie Enable Hibernate With Encrypted Swap in der Ubuntu-Community-Dokumentation.
Viele Programme legen temporäre Dateien in /tmp
ab . Der beste Weg, dies zu handhaben, besteht darin, /tmp
einzufügen auf dem speichergestützten Dateisystem tmpfs, anstatt es auf einem festplattengestützten Dateisystem zu belassen. Es gibt auch einen leichten Leistungsvorteil. In dieser Beschreibung erfahren Sie, wie Sie dies tun.
Darüber hinaus können private Daten an verschiedenen Orten landen, die nicht Ihr privater Speicherbereich sind. Ob es sich lohnt, diese Bereiche zu verschlüsseln, müssen Sie anhand dessen entscheiden, was Sie als vertraulich erachten. Hier sind einige bemerkenswerte Orte:
- Wenn Sie E-Mails lokal empfangen (im Gegensatz zum Abrufen von einem POP- oder IMAP-Server), kommen sie in
/var/mail
an . Wenn Sie E-Mails mit der traditionellen Unix-Methode senden (sendmail
), geht es über/var/spool/postfix
(oder was auch immer Ihr MTA ist). Wenn Sie diesen Absatz nicht verstehen, trifft er auf Sie nicht zu. - Wenn Sie wiederkehrende Aufgaben einrichten, werden diese in
/var/spool/cron
gespeichert . - Wenn Sie etwas drucken, wird es in
/var/spool/cups
übertragen . - Das System meldet sich unter
/var/log
an kann Daten enthalten, die Sie lieber privat halten möchten, z. B. Netzwerkfehler von Websites, zu denen oder von denen Sie versucht haben, eine Verbindung herzustellen. - Ihre Systemkonfiguration in
/etc
kann ein paar vertrauliche Dinge wie ISP- oder WLAN-Passwörter enthalten.
Wenn Sie Ihr Home-Verzeichnis mit ecryptfs verschlüsseln, beachten Sie, dass es nicht gemountet wird, wenn Sie sich remote mit SSH anmelden, während Sie nicht lokal angemeldet sind. Wenn Sie das also tun, wird Ihre öffentliche SSH-Schlüsseldatei (~/.ssh/authorized_keys
) muss sowohl in verschlüsselter als auch in Klartextform vorliegen.
Es hängt davon ab, was Sie sichern möchten. Wenn sich alles, was Sie sicher aufbewahren möchten, in /home/ befindet, dann sind Sie goldrichtig. Ansonsten nein.
Beispiel:/var/spool/mail/
enthält System-E-Mail, die an Ihren Benutzer gesendet wurde. /var/spool/cron/
enthält Ihre Crontabs. Und wenn Sie befürchten, dass ein bösartiger Akteur mit lokalem Zugriff ("Evil-Maid"-Szenario) Ihre Sicherheit durcheinanderbringt, dann ist das definitiv nicht reicht aus.
Die Homedir-Verschlüsselung ist bequem und einfach und ermöglicht es Ihnen, Ihre persönlichen Daten vor Ihrer großen Schwester zu schützen. Aber es ist keine Whole-Disk-Verschlüsselung, was Sie wahrscheinlich wollen, wenn Sie diese Frage stellen.
Fehlgeschlagene Anmeldeversuche sind ratenbegrenzt wenn dies über PAM erfolgt, aber Brute-Force-Angriffe auf Ihre Verschlüsselung wären sowieso offline, sodass Ihr Betriebssystem nicht berücksichtigt wird.