我們時不時地能看到這樣的頭條新聞:“某公司損失了3千萬客戶的個人社會安全碼,以及其他個人敏感信息還有財務數據!我們不該憤怒嗎?”通常都是“承包商”(注意為什麼從來都不會是雇員)在他的(似乎是)帶有千兆硬盤的筆記本上存儲了所有這些信息,然後這個筆記本丟失或者被盜走了,但是沒有人知道准確的時間和地點。或者是,某個供應商負責運輸一大盒備份磁帶,而顯然這個供應商“太窮了”,連帶有防盜鎖的汽車都買不起。對我來說,這些解釋都是無稽之談,甚至是荒謬;承包商怎麼會最先獲得所有的敏感數據?為什麼他們需要把所有的數據放到筆記本上?為什麼要讓買不起高安全性能的汽車的那些人來運送一大盒的敏感信息備份磁帶呢?他們怎麼會知道丟失了哪些數據,怎麼會知道這些數據是否被加密或者究竟有沒有被妥善保護?
還真是有不少無法回答的問題。本文的主題就是如何用加密文件系統在硬盤中保護敏感數據。這個方案是提供給那些移動用戶和需要在服務器和工作站中保護數據安全的人們的。我們將使用既簡單又功能強大的cryptsetup-luks。我們會創建一個加密的分區,只需在裝載時提供口令。然後你就可以像其他分區一樣地使用該分區了。
Debian,Ubuntu,還有Fedora都可以用cryptsetup-luks了。你不需要修改內核或者其他任何東西;你只要安裝就行了。
Debian和Ubuntu 系列上:
# aptitude安裝cryptsetup
在Fedora上:
#yum安裝cryptsetup-luks
讓系統做好准備
不幸的是,cryptsetup不能給你系統中現有的數據加密;因此你必須創建加密的分區,然後將數據轉移到新建的分區中。用GParted(Gnome分區編輯器)來管理分區很方便,所有主流的Linux版本上都有GParted。你可以用它重新設置分區大小、移動、刪除或者創建分區,並且可以選擇自己喜歡的文件系統格式化方式。它能夠支持你系統內核所支持的所有的分區類型以及文件系統,因此如果你機器上是雙系統的話,你甚至可以在Windows分區上使用該工具。如果是新的硬盤分區上的話,你可以用Gparted live CD。
本文中我們只探討怎樣給數據分區加密。我也知道許多方法可以給其他文件系統的、保存了潛在的敏感信息的那些分區加密,比如/var和/etc,但是這兩個都很復雜並且刁鑽,它們都不能能在啟動的時候加密。因此,我這裡只討論現有的比較成熟的這些,因為根據我自己的測試,其他那些方法還無法穩定工作。
你用一種文件系統將分區格式化並沒有什麼關系,所有東西都可以重寫,加密後文件格式也是可變的。
你將用密碼來保護你的加密分區。如果你把密碼弄丟了,那就太不幸了,你就無法取回這些數據了。
