如何加密分区和保护密钥文件

Question

Linux机器有一个包含敏感数据的分区。这样做的目的是防止一个人从一个活动的usb启动和安装机器的硬盘驱动器和复制数据。

该分区使用加密设置进行加密。但它必须在启动时被解密。因此，创建一个密钥文件来保存密码。键被添加到LUKS中：

sudo cryptsetup luksAddKey <encrypted_device> <path_to_key>

为了让系统在引导时找到它，密钥文件在/etc/crypttab中链接：

$ sudo nano /etc/crypttab
# Content of the crypttab file
cryptpart    UUID=<partition_uuid>    <path_to_key>    luks

参考文献

问题

使用活动USB，人们可以读取/etc/crypttab，找到密钥文件的路径并破解锁。

解决办法是什么？

Answer 1

您所描述的本质上是将钥匙保存在锁旁边。这很方便，但你说它不安全是正确的。

理想情况下，您应该将密钥文件存储在另一个设备上。最好是与加密系统分开安全存储的硬件(如USB棒)。

这个场景不是Linux加密设计的失败，也不是Ubuntu设计的失败。开发人员做好了他们的工作。该系统的管理人员未能尽到自己的职责，软件无法轻易解决这一问题。