4.3. 加密分割區和檔案

每一位使用者都有一些第三方無法存取的機密資料。當您連線越頻繁、越有機動性時,處理資料時就應更加小心。此時,若有其他人會透過網路連線或直接實體存取您的電腦,我們就會建議您加密檔案或整個分割區。

[Warning]加密媒體已受限制保護

請注意,您無法使用本節描述的方法來防止正在運作的系統遭到攻擊。成功裝載加密的媒體後,使用者必須要有足夠的權限才可存取該媒體。如果您的電腦遺失或遭竊,加密的媒體將發揮作用,不讓未經授權的使用者讀取您的機密資料。

以下清單重點摘述一些可以想像的使用案例。

筆記型電腦

如果您旅行時攜帶筆記型電腦,為存有機密性資料的硬碟分割區加密將會是個很棒的點子。當您的筆記型電腦遺失或遭竊時,如果資料位於加密檔案系統或單一加密檔案中,其他人將無法讀取這些資料。

抽取式媒體

USB 隨身碟或外接式硬碟和筆記型電腦一樣容易遭到竊取。加密的檔案系統可防止第三方存取加密檔案。

工作站

在公司中,幾乎所有人都可以存取您的電腦,此時若加密分割區或單一檔案即可保護檔案。

4.3.1. 使用 YaST 設定 Crypto 檔案系統

YaST 在安裝時會加密檔案或分割區,並加密已安裝系統中的檔案或分割區。因為加密檔案與現存分割區配置完全相合,所以任何時候都可建立加密檔案。若要加密整個分割區,請固定分割區以便在分割區配置進行加密。依照預設,YaST 建議的標準分割提案不包含已加密的分割區。在分割區的對話方塊手動新增。

4.3.1.1. 在安裝時建立加密分割區

[Warning]密碼輸入

設定加密分割區的密碼時請注意密碼安全性警告,並將密碼牢記於心。若沒有輸入密碼,將無法存取或還原加密的檔案。

正如節 2.9.5, "磁碟分割程式" (↑啟動)所述,YaST 分割區進階對話方塊會提供建立加密分割區所需的選項。依照建立一般分割區的方式,按一下建立。請在開啟的對話方塊中,輸入新分割區的分割參數,例如想要的格式化和裝置點。按一下加密檔案系統完成程序。接著,在以下的對話方塊中輸入密碼兩次。按一下確定關閉分割對話方塊後,即可建立新的加密分割區。下次開機時,作業系統會在裝載分割區前要求輸入密碼。

如果您不想在啟動時裝載加密分割區,請在系統提示輸入密碼後,按一下 Enter。接著拒絕再次輸入密碼。在此情況下,將不會裝載加密的檔案系統,接著作業系統會繼續進行開機且不會存取您的資料。一旦分割區裝載完成,所有使用者都可以以使用它。

如果只要在有需要時裝載加密的檔案系統,請啟用 fstab 選項對話方塊中的開機時不要裝載。之後,系統開機時將不會裝載該分割區。未來若要裝載該分割區,請使用 mount name_of_partition mount_point 指令手動裝載。接著系統會提示您輸入密碼。分割區使用完畢後,請再使用 umount name_of_partition 指令解除裝載,以避免其他使用者進行存取。

4.3.1.2. 在執行系統上建立加密分割區

[Warning]在執行系統中啟動加密

在執行系統上也可以使用與安裝期間相同的方式,來建立加密分割區。然而,加密現存分割區會損毀它所有的資料。

在執行中的系統上,在 YaST 控制中心中依序選取系統+分割區。按一下繼續進行。依據前文所述,按一下編輯,而不要選取建立。其他程序則相同。

4.3.1.3. 安裝加密檔案

除了使用分割區之外,您還可以在保存機密資料的單一檔案中建立加密檔案系統。請從同一個 YaST 對話方塊,建立加密檔案系統。選取加密檔案,然後輸入要建立的檔案路徑和檔案大小。接著,接受建議的格式化設定值和檔案系統類型。接著,指定裝載點,同時決定系統開機時是否要裝載加密檔案系統。

加密檔案有一個好處是,您不須重新分割硬碟即可新增加密檔案。他們會透過迴路設備進行裝載,且運作方式就跟一般分割區一樣。

4.3.1.4. 使用 vi 來加密檔案

使用加密分割區的缺點是在裝載分割區時,您至少要使用 root 身分登入才可存取資料。若要避免這種問題,您可以在加密模式中使用 vi。

請使用 vi -x filename 來編輯新檔案。接著 vi 會在加密檔案內容後提示您設定密碼。之後,每當您要存取該檔案時,vi 就會要求您輸入正確的密碼。

為了確保更高的安全性,您可以在加密分割區中放置加密的文字檔。因為 vi 中使用的加密功能不是非常強大,所以我們建議您建立一個加密文字檔。

4.3.2. 加密抽取式媒體內容

YaST 會將類似外接硬碟、或 USB 快閃磁碟機等抽取式媒體,當作任何其他硬碟來處理。您可以按照以上步驟來加密此類媒體上的檔案或分割區。但是,請勿選取在系統開機時裝載這些媒體,因為這些媒體通常只會在系統執行時才會連線。