使用 Scientific Linux (ala’ RedHat) 對主目錄進行快速加密
我有一個帶有 C2D T7300 CPU/4 GByte RAM 的 T61。我上面有 SL 6.3,我在安裝過程中勾選了加密 VG。如果我在它上面啟動一個“普通”的 windows xp,它的 ~slow .. 所以.. 我需要一點性能提升 :)
大聲思考/問題:kcryptd 可能會佔用約 20%(!)的 CPU,但需要加密.. 所以我在想我怎麼能只加密那個 1 使用者的主目錄(並且不需要 AES256,只是一個非常輕的加密,因此竊賊無法訪問筆記本上的數據,我不是在防禦“CIA”:D 或者至少是較輕的加密)
更新:我投票支持:
aes-ecb-null -s 128所以在安裝之前我必須手動創建分區。AFAIK 使用它而不使用預設值確實可以提高性能。
UPDATE2: https ://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-LUKS_Disk_Encryption.html - 所以看起來他們正在使用512位aes-xts-plain64。
Linux 下存在三種主要的儲存加密可能性。從最低級別到最高級別,從最快到最慢,從最不靈活到最靈活的順序:
- Dm-crypt加密整個文件系統(或更一般地說是任何儲存設備)。您可以獲得最佳性能,但您必須在組織儲存分區時決定使用它,並且每個分區都有一個密鑰。
- Ecryptfs加密使用者的主目錄。每個使用者都有自己的密鑰。加密是在核心中執行的,但加密是在文件級別而不是在塊級別,這會減慢速度。
- encfs加密一些文件。這可以由普通使用者設置,因為它只需要管理員提供FUSE。您可以輕鬆地擁有具有不同密鑰的多個文件系統。它比其他兩個慢。
鑑於您的限制,dm-crypt 顯然是正確的選擇。您可以通過只加密需要加密的文件而不是作業系統來獲得更好的性能。如果您還沒有真正開始使用您的新系統,重新安裝會更簡單,但您也可以通過從諸如SystemRescueCD之類的 Live CD 啟動來在現有系統上工作。
創建一個系統分區和一個單獨的分區,如果您不想加密整個主目錄而只加密一些選定的文件
/home,甚至可以創建一個單獨的分區。/encrypted為要加密的一個文件系統創建一個 dmcrypt 卷。選擇最快的密碼可能會有所收穫。AES-128 而不是 AES-256 應該會給您帶來非常輕微的性能提升,而不會降低安全性。選擇 CBC 而不是 XTS 作為密碼模式,因為您不需要完整性:
cryptsetup luksCreate -c aes-cbc-sha256 -s 128. 您甚至可以選擇aes-cbc-plain密碼:它是不安全的,但前提是攻擊者可以在您的系統上植入選定的文件,這對您的案例無關緊要;我不知道在性能方面是否有任何收益。散列 (-h) 的選擇只會影響安裝磁碟時驗證密碼的時間,所以不要吝嗇。