Security
加密磁碟而無需登錄輸入密碼
我正在使用 eCryptfs 加密主目錄,並希望在沒有使用者登錄的情況下訪問文件。程序 pam_mount 將自動掛載加密的文件系統,但似乎只有在使用者登錄時才會發生這種情況。有沒有辦法做這沒有使用者登錄或打開自動登錄?
我可能以錯誤的方式處理這個問題 - 我正在嘗試將 python 程序作為靜態顯示執行,但不想將 python 程式碼暴露給可以將驅動器安裝在另一台機器上並查看未加密文件的人。此應用程序使用 systemd 服務啟動。
您希望您的數據可讀以執行您的應用程序並使用該腳本顯示它,但您不希望人們能夠讀取您的數據,如果他們可以訪問機器並且可以移除硬碟。
加密可以提供幫助,但前提是密鑰不在磁碟上。所以忘記自動掛載:它不會幫助你。如果密鑰在磁碟上,與不加密數據相比,您不會獲得任何安全性。
如果密鑰不在磁碟上,它會在哪裡?
- 密鑰可以從密碼中導出。但是隨後有人需要在啟動時輸入密碼。dm-crypt比 ecryptfs 更容易設置:ecryptfs 適用於多使用者系統,因此每個使用者都有自己的加密密鑰,而 dm-crypt 旨在加密整個磁碟或分區。
- 密鑰可以位於其他未永久連接到電腦的可移動硬體上。最簡單的解決方案是使用 dm-crypt 和 USB 驅動器或 SD 卡上的密鑰文件。同樣,啟動時必須有人在場才能插入包含密鑰的驅動器。
- 密鑰可以位於永久連接到電腦的其他硬體上。但是你需要防止攻擊者從不同的磁碟啟動,恢復密鑰,然後解密原始磁碟。或者從不同的磁碟啟動,修改現有磁碟上的啟動程式碼以添加可以導出數據或允許無密碼登錄的程序,然後從原始磁碟啟動。所以你需要某種形式的安全啟動。(這是安全啟動,因為您擁有密鑰並且可以控制在您的機器上執行的內容,而不是安全啟動,因為製造商擁有密鑰並阻止您安裝您選擇的作業系統。)
如果您不想單獨依靠物理安全(將電腦放在沒有電動工具無法打開的上鎖盒子中),並且您不希望每次電腦啟動時都必須有人干預,請確保引導是唯一的解決方案。
這意味著您需要一台帶有可以控制的TPM的 PC ,或者一個可以控制的帶有安全啟動的 Arm 板(這些有點不常見,但您可能能夠在具有安全啟動,或在 iPhone 上)。