c*****m
发帖数: 1160 | 1 Linux (Ubuntu)下,我用了两种不同的方式给硬盘加密:
1,安装完系统后, 指定第二个partition是加密的,密文存在/boot/encrypt下,只有
root可以访问。
2,安装系统期间就指定所有硬盘加密,指定密文。
第一种方式的问题是:如果别人黑了root,不是就能看到密文了么?甚至,这个 /boot
/encrypt 根本就不是加密的,别人拿着硬盘的话,是不是不用黑root,都能翻出来?
第二种方式的问题是:每次重启,都必须在机器前physically 输入密文。因为系统需
要密文才能跑起来,跑网络。
请问你们的common practice是什么? |
w***g
发帖数: 5958 | 2 第一种显然没用。硬盘都拿到了,企有不顺手带走root盘的道理?如果是一个盘上的,
那就更方便。
每次机器重启前敲密码看着比较靠谱。
boot
【在 c*****m 的大作中提到】
: Linux (Ubuntu)下,我用了两种不同的方式给硬盘加密:
: 1,安装完系统后, 指定第二个partition是加密的,密文存在/boot/encrypt下,只有
: root可以访问。
: 2,安装系统期间就指定所有硬盘加密,指定密文。
: 第一种方式的问题是:如果别人黑了root,不是就能看到密文了么?甚至,这个 /boot
: /encrypt 根本就不是加密的,别人拿着硬盘的话,是不是不用黑root,都能翻出来?
: 第二种方式的问题是:每次重启,都必须在机器前physically 输入密文。因为系统需
: 要密文才能跑起来,跑网络。
: 请问你们的common practice是什么?
|
a9
发帖数: 21638 | 3 不知道有没有像bitlocker那样从网络下载密钥的加密方法
只有
来?
统需
【在 w***g 的大作中提到】
: 第一种显然没用。硬盘都拿到了,企有不顺手带走root盘的道理?如果是一个盘上的,
: 那就更方便。
: 每次机器重启前敲密码看着比较靠谱。
:
: boot
|
d*b
发帖数: 21830 | 4 用smart card联网验证,也可以用OTP,比如yubikey这种,smart card大多是企业级的
,光搞个写smart card的license就上千了,比较容易实现的办法是yubikey.
加密的主要问题是可靠性太低,一旦故障,你就跟数据说byebye了,这个威胁比泄密还
大。
【在 a9 的大作中提到】
: 不知道有没有像bitlocker那样从网络下载密钥的加密方法
:
: 只有
: 来?
: 统需
|
a9
发帖数: 21638 | 5 昨天我搜下,linux的加密貌似可以启动ramdisk的时候加个ssh daemon,通过ssh传入密
钥。
可靠性还是得靠RAID和备份。
【在 d*b 的大作中提到】
: 用smart card联网验证,也可以用OTP,比如yubikey这种,smart card大多是企业级的
: ,光搞个写smart card的license就上千了,比较容易实现的办法是yubikey.
: 加密的主要问题是可靠性太低,一旦故障,你就跟数据说byebye了,这个威胁比泄密还
: 大。
|
y**b
发帖数: 10166 | 6 硬盘加密是件令人胆颤心惊的事,没有万分必要不建议搞。重要文件或目录可以单独加
密。
不过thinkpad商务笔记本的硬盘锁超牛,bios里面加锁,就是把硬盘拆到别的机器上也
根本读不了,格式化也不行。 |
a9
发帖数: 21638 | 7 原理应该是一样的。
【在 y**b 的大作中提到】
: 硬盘加密是件令人胆颤心惊的事,没有万分必要不建议搞。重要文件或目录可以单独加
: 密。
: 不过thinkpad商务笔记本的硬盘锁超牛,bios里面加锁,就是把硬盘拆到别的机器上也
: 根本读不了,格式化也不行。
|
c******3
发帖数: 6509 | 8 这个是firmware里面做了手脚,不是数据加密,真想还原也不是不行,费事而已
【在 y**b 的大作中提到】
: 硬盘加密是件令人胆颤心惊的事,没有万分必要不建议搞。重要文件或目录可以单独加
: 密。
: 不过thinkpad商务笔记本的硬盘锁超牛,bios里面加锁,就是把硬盘拆到别的机器上也
: 根本读不了,格式化也不行。
|
|
d*b
发帖数: 21830 | 9 搞笑,thinkpad都是硬件加密,我10多年前买的thinkpad上的hitachi硬盘就自带硬件
加密芯片了,那种盘当年ebay卖掉能卖很多钱。即使是现在,thinkpad上的宇宙国ssd
都是定制的。
【在 c******3 的大作中提到】
: 这个是firmware里面做了手脚,不是数据加密,真想还原也不是不行,费事而已
|
c*****m
发帖数: 1160 | 10
HIPPA Compliance 其实并不要求存储加密,只要求“在公共网络传输时加密”。但是
在硬盘里加密比较高上大,跟客户谈起来也表示我们很重视安全。
”每次机器重启前敲密码“ 的最大问题是停电重启后必须插上键盘、显示器来输入密
码。不能做成headless服务器。
【在 y**b 的大作中提到】
: 硬盘加密是件令人胆颤心惊的事,没有万分必要不建议搞。重要文件或目录可以单独加
: 密。
: 不过thinkpad商务笔记本的硬盘锁超牛,bios里面加锁,就是把硬盘拆到别的机器上也
: 根本读不了,格式化也不行。
|
|
|
W****n
发帖数: 141 | |
c*****m
发帖数: 1160 | 12 Linux (Ubuntu)下,我用了两种不同的方式给硬盘加密:
1,安装完系统后, 指定第二个partition是加密的,密文存在/boot/encrypt下,只有
root可以访问。
2,安装系统期间就指定所有硬盘加密,指定密文。
第一种方式的问题是:如果别人黑了root,不是就能看到密文了么?甚至,这个 /boot
/encrypt 根本就不是加密的,别人拿着硬盘的话,是不是不用黑root,都能翻出来?
第二种方式的问题是:每次重启,都必须在机器前physically 输入密文。因为系统需
要密文才能跑起来,跑网络。
请问你们的common practice是什么? |
w***g
发帖数: 5958 | 13 第一种显然没用。硬盘都拿到了,企有不顺手带走root盘的道理?如果是一个盘上的,
那就更方便。
每次机器重启前敲密码看着比较靠谱。
boot
【在 c*****m 的大作中提到】
: Linux (Ubuntu)下,我用了两种不同的方式给硬盘加密:
: 1,安装完系统后, 指定第二个partition是加密的,密文存在/boot/encrypt下,只有
: root可以访问。
: 2,安装系统期间就指定所有硬盘加密,指定密文。
: 第一种方式的问题是:如果别人黑了root,不是就能看到密文了么?甚至,这个 /boot
: /encrypt 根本就不是加密的,别人拿着硬盘的话,是不是不用黑root,都能翻出来?
: 第二种方式的问题是:每次重启,都必须在机器前physically 输入密文。因为系统需
: 要密文才能跑起来,跑网络。
: 请问你们的common practice是什么?
|
a9
发帖数: 21638 | 14 不知道有没有像bitlocker那样从网络下载密钥的加密方法
只有
来?
统需
【在 w***g 的大作中提到】
: 第一种显然没用。硬盘都拿到了,企有不顺手带走root盘的道理?如果是一个盘上的,
: 那就更方便。
: 每次机器重启前敲密码看着比较靠谱。
:
: boot
|
d*b
发帖数: 21830 | 15 用smart card联网验证,也可以用OTP,比如yubikey这种,smart card大多是企业级的
,光搞个写smart card的license就上千了,比较容易实现的办法是yubikey.
加密的主要问题是可靠性太低,一旦故障,你就跟数据说byebye了,这个威胁比泄密还
大。
【在 a9 的大作中提到】
: 不知道有没有像bitlocker那样从网络下载密钥的加密方法
:
: 只有
: 来?
: 统需
|
a9
发帖数: 21638 | 16 昨天我搜下,linux的加密貌似可以启动ramdisk的时候加个ssh daemon,通过ssh传入密
钥。
可靠性还是得靠RAID和备份。
【在 d*b 的大作中提到】
: 用smart card联网验证,也可以用OTP,比如yubikey这种,smart card大多是企业级的
: ,光搞个写smart card的license就上千了,比较容易实现的办法是yubikey.
: 加密的主要问题是可靠性太低,一旦故障,你就跟数据说byebye了,这个威胁比泄密还
: 大。
|
y**b
发帖数: 10166 | 17 硬盘加密是件令人胆颤心惊的事,没有万分必要不建议搞。重要文件或目录可以单独加
密。
不过thinkpad商务笔记本的硬盘锁超牛,bios里面加锁,就是把硬盘拆到别的机器上也
根本读不了,格式化也不行。 |
a9
发帖数: 21638 | 18 原理应该是一样的。
【在 y**b 的大作中提到】
: 硬盘加密是件令人胆颤心惊的事,没有万分必要不建议搞。重要文件或目录可以单独加
: 密。
: 不过thinkpad商务笔记本的硬盘锁超牛,bios里面加锁,就是把硬盘拆到别的机器上也
: 根本读不了,格式化也不行。
|
c******3
发帖数: 6509 | 19 这个是firmware里面做了手脚,不是数据加密,真想还原也不是不行,费事而已
【在 y**b 的大作中提到】
: 硬盘加密是件令人胆颤心惊的事,没有万分必要不建议搞。重要文件或目录可以单独加
: 密。
: 不过thinkpad商务笔记本的硬盘锁超牛,bios里面加锁,就是把硬盘拆到别的机器上也
: 根本读不了,格式化也不行。
|
d*b
发帖数: 21830 | 20 搞笑,thinkpad都是硬件加密,我10多年前买的thinkpad上的hitachi硬盘就自带硬件
加密芯片了,那种盘当年ebay卖掉能卖很多钱。即使是现在,thinkpad上的宇宙国ssd
都是定制的。
【在 c******3 的大作中提到】
: 这个是firmware里面做了手脚,不是数据加密,真想还原也不是不行,费事而已
|
|
|
c*****m
发帖数: 1160 | 21
HIPPA Compliance 其实并不要求存储加密,只要求“在公共网络传输时加密”。但是
在硬盘里加密比较高上大,跟客户谈起来也表示我们很重视安全。
”每次机器重启前敲密码“ 的最大问题是停电重启后必须插上键盘、显示器来输入密
码。不能做成headless服务器。
【在 y**b 的大作中提到】
: 硬盘加密是件令人胆颤心惊的事,没有万分必要不建议搞。重要文件或目录可以单独加
: 密。
: 不过thinkpad商务笔记本的硬盘锁超牛,bios里面加锁,就是把硬盘拆到别的机器上也
: 根本读不了,格式化也不行。
|
W****n
发帖数: 141 | |
n****f
发帖数: 905 | 23 Simply use SED hard drive.
boot
【在 c*****m 的大作中提到】
: Linux (Ubuntu)下,我用了两种不同的方式给硬盘加密:
: 1,安装完系统后, 指定第二个partition是加密的,密文存在/boot/encrypt下,只有
: root可以访问。
: 2,安装系统期间就指定所有硬盘加密,指定密文。
: 第一种方式的问题是:如果别人黑了root,不是就能看到密文了么?甚至,这个 /boot
: /encrypt 根本就不是加密的,别人拿着硬盘的话,是不是不用黑root,都能翻出来?
: 第二种方式的问题是:每次重启,都必须在机器前physically 输入密文。因为系统需
: 要密文才能跑起来,跑网络。
: 请问你们的common practice是什么?
|
m********5
发帖数: 17667 | 24 我加密过,最后是自找麻烦,全系统加密的话,系统盘挂了一个小区就没法恢复整块盘
的数据。当然了,对有些人说不定还是好事,哈哈。
要加密最好是硬件加密,比如我的硬盘要插上一个U盾一样的东西才能读,问题是你在
用的时候,是透明的,别人黑你的时候照样能看到硬盘内容,加密只是防止物理被盗,
所以一般笔记本加密,移动硬盘加密。
boot
【在 c*****m 的大作中提到】
: Linux (Ubuntu)下,我用了两种不同的方式给硬盘加密:
: 1,安装完系统后, 指定第二个partition是加密的,密文存在/boot/encrypt下,只有
: root可以访问。
: 2,安装系统期间就指定所有硬盘加密,指定密文。
: 第一种方式的问题是:如果别人黑了root,不是就能看到密文了么?甚至,这个 /boot
: /encrypt 根本就不是加密的,别人拿着硬盘的话,是不是不用黑root,都能翻出来?
: 第二种方式的问题是:每次重启,都必须在机器前physically 输入密文。因为系统需
: 要密文才能跑起来,跑网络。
: 请问你们的common practice是什么?
|
