如何真正保护硬盘?

当我从USB记忆棒启动到我的笔记本电脑时,我能够通过chroot挂载并连接到我的硬盘驱动器并且没有问题地浏览我的文件,而这在某些时候是非常有用的,我想它也会是这样的轻松访问我的文件和安装给其他人。

我有什么替代方法来保护我的硬盘?

一个字: LUKS

LUKS是一种全盘加密方法。 在启动时,您必须输入密码。 使用给定的密码短语,解锁密钥槽并检索用于加密数据的实际密钥。 LUKS可以看作是一个包含另一个分区的加密分区。

由于大多数用户都有多个分区( / partition和swap),因此它通常与LVM一起使用,以避免为每个LUKS加密分区输入密码。 LVM可以看作是一个包含多个分区的特殊分区(简化)。 结构看起来像这样:

 Disk +-LUKS partition +-LVM partition +-/ +-/home +-swap 

使用备用CD,您可以使用LVM + LUKS创建新安装。 在磁盘分区步骤中,可以看到从另一个分区复制数据的选项。 如果您不介意重新安装整个系统,请备份文件和设置,并使用备用CD进行新安装。

有关LUKS(cryptsetup)的更正确的文档,请参阅Cryptsetup FAQ 。

我知道两个解决方案: LUKS和Truecrypt 。

Truecrypt通常用于加密部分硬盘或外部磁盘。 可以使用Truecrypt加密整个硬盘,使用一个小的未加密分区进行预启动validation和解密。 但是,这仅适用于Windows系统 。 我只会将Truecrypt用于不可引导的磁盘 。 Truecrypt的源代码是公开的,它是免费的,并且它是可靠的跨平台。 它不包含在Ubuntu的存储库中,因为它不是严格的开源。 更新: TrueCrypt开发人员神秘地停止了它,现在推荐其他解决方案。

LUKS / cryptsetup可以更好地与Ubuntu集成,特别是Nautilus和Disk Utility。 如果您正在安装新系统,则使用备用CD加密整个硬盘非常容易。 安装过程中有一个选项可以自动完成所有操作。 我肯定会建议使用LUKS,除非你必须使用Truecrypt。

我目前正在多启动一个未加密的Windows系统,一个未加密的Debian系统和一个LUKS加密的Ubuntu系统(包括根分区和交换)。 设置这个设置很复杂,但有在线 指南 。 需要注意的一点是,LUKS LVM 不能调整到左侧 ,调整到右侧很复杂。