4.3. 对分区和文件进行加密

每个用户都有一些第三方不应能访问的机密数据。您连接到网络的几率越高、移动性越强,就越应该注意数据的处理。如果有其它人通过网络连接访问或直接进行物理访问,建议您对文件或整个分区加密。

[Warning]加密媒体的保护有限

请注意,使用本节介绍的方法并不能保护您运行的系统免遭损害。成功装入加密媒体后,具有适当权限的所有用户才可以访问它。如果计算机丢失或失窃,且有未授权的他人想读取您的机密数据,加密媒体对此是非常有意义的。

下面列出了多个可能的应用方案。

便携式计算机

如果您携带便携式计算机去旅行,最好对包含机密数据的硬盘分区进行加密。如果便携式计算机丢失或失窃,则驻留在加密文件系统或单个加密文件中的数据将无法访问。

可移动媒体

USB 闪存盘或外部硬盘像便携式计算机一样容易失窃。加密文件系统可以保护计算机来防止第三方的访问。

工作站

在公司里几乎所有的人都要访问您的计算机,因此加密分区或单个文件是有意义的。

4.3.1. 使用 YaST 设置加密文件系统

YaST 可以对正在安装和已安装的系统进行文件或分区的加密。加密文件可以随时创建,原因是它可以很好地嵌入现有的分区布局中。要加密整个分区,需要在分区布局中提供一个专用于加密的分区。默认情况下,YaST 的标准分区建议并不包括加密分区。请在分区对话框中手工添加此分区。

4.3.1.1. 在安装过程中创建加密分区

[Warning]口令输入

在为加密分区设置口令时,请仔细阅读有关口令安全性的警告并记住口令。没有口令就不能访问或恢复加密数据。

第 2.9.5 节 “分区程序” (↑启动)中介绍的用于分区的 YaST 专家对话框提供了创建加密分区所需的选项。单击创建,这与创建常规分区时类似。在打开的对话框中,输入新分区的分区参数,例如所需的格式和装入点。单击加密文件系统完成处理。在随后出现的对话框中,输入两次口令。通过单击确定关闭分区对话框之后便创建了新的加密分区。引导时,操作系统将在载入分区之前要求输入口令。

如果在启动期间不想装入加密分区,则在系统提示输入口令时按 Enter 键。然后,再次拒绝输入口令的提示。在此情况下,不装入加密文件系统,并且操作系统继续引导并阻止对您的数据的访问。装入分区后,此分区对所有用户都可用。

如果只在必要时才装入加密文件系统,请启用 fstab 选项对话框中的不要在引导时装入。则系统引导时将不装入相应的分区。之后若要使该分区可用,需要使用 mount name_of_partitionmount_point 手工装入。在系统提示时输入口令。完成分区装入后,使用 umount name_of_partition 卸装分区,以防止其它用户访问此分区。

4.3.1.2. 在运行的系统上创建加密分区

[Warning]在运行的系统中激活加密

还可以在正在运行的系统(例如在安装过程中)上创建加密分区。但是,加密现有的分区会损坏分区上的所有数据。

在正在运行的系统上,在 YaST 控制中心中选择系统+分区。单击继续。请不要选择上文介绍的创建,而是单击编辑。其余的过程相同。

4.3.1.3. 安装加密文件

除使用分区外,还可以在单个文件内创建存放机密数据的加密文件系统。可以从同一个 YaST 对话框创建这些文件系统。选择加密文件,然后输入指向要创建的文件的路径及其所需大小。接受建议的格式化设置和文件系统类型。然后,指定装入点并确定是否应在系统引导过程中装入加密文件系统。

加密文件具有一个优点,即可以添加加密文件而无须对硬盘进行重新分区。可以借助于环路设备装入加密文件,而其行为方式与常规的分区类似。

4.3.1.4. 使用 vi 加密文件

使用加密分区也有缺点,即在装入加密分区时,至少为 root 用户才能访问数据。要防止出现这种情况,可以在加密方式中使用 vi。

使用 vi -x filename 编辑新文件。vi 将提示您设置口令,然后加密文件的内容。只要您访问此文件,vi 就会要求您输入正确的口令。

要想更加安全,可以将加密文本文件放入加密分区中。建议使用此方法是因为 vi 使用的加密并不足够安全。

4.3.2. 加密可移动媒体的内容

YaST 将可移动媒体(如外部硬盘或 USB 闪存驱动器)当作任何其它硬盘一样处理。可按上文介绍的方法加密可移动媒体中的文件或分区。但是,请不要选择在引导过程中装入这些媒体,因为这些媒体通常只在系统运行时才进行连接。