在加密的LVM安装上加密主目录是否过度杀伤？

对于大多数系统来说，这太过分了。 通过“加密LVM”，您可能意味着“LUKS”（ Linux统一密钥设置 ）。

加密主目录可以保护您免受：

• 访问您文件的同一系统上的其他用户
• 机器被盗/丢失时数据被盗

但不是来自：

• 修改用户主目录之外的系统设置或文件（包括二进制文件）。 通过这种方式，管理员（或具有物理访问权限和LiveCD的任何人）可以安装复制/修改主目录中的文件/设置的程序。

使用LUKS加密您的系统（在备用安装程序的情况下使用完全磁盘加密）：

• 机器被盗/丢失时数据被盗
• 数据完整性：任何不知道您的LUKS密码短语的人都无法修改您的系统设置或文件，尽管您仍然无法抵御邪恶的女佣攻击 。

因此，如果您是系统的唯一用户，则加密主目录不会增加重要保护，只会使性能恶化。 如果您与可信任的人共享您的计算机并且您的计算机不包含绝密信息，也不应该这样做。 最后一种情况：如果您正在共享计算机并且计算机上安装了多个操作系统，并且您是唯一知道密码短语的人，则仍然无需加密您的主目录。

是否过度取决于您的具体情况。 加密的主目录将保护您的个人数据免受系统上的其他用户以及外部入侵者的侵害。 此外，每个额外的加密级别使攻击者更难以入侵。在我的备份驱动器上，其中包含客户端计算机的图像，其中一些包含信用卡和社会安全号码，我使用整个磁盘加密，然后是加密的主目录，使用不同的密码和[PPP]： https ： //www.grc.com/ppp.htm代码。 对于包含人们个人信息的内容，我还会将其添加到具有级联加密function的TrueCrypt容器中。 这可能是矫枉过正，但它涵盖了所有的基础。 窃取我的驱动器的人被锁在一切之外，不知何故攻击正在运行的系统的人被锁定在我的文件中，并且在我支持某些内容时获得控制台访问权限的人只获得当前解密的备份集（这很可能是他们自己的数据。）

确定您需要的级别主要是发现某人可能对您的系统造成的攻击并将其锁定的问题。 对于99％的单用户系统，整个磁盘加密可能已经足够了。