Si seleccioné una buena contraseña y la mantuve en secreto, ¿para qué cifrar mi directorio de inicio, como opción de configuración con algunos tipos de oferta de Linux durante la configuración?
¿Los permisos de Linux no mantendrán los ojos no deseados lejos de mis cosas?
El punto es proteger contra el acceso a su disco fuera del sistema operativo.
El cifrado es útil contra los atacantes que tienen acceso físico a su computadora. Sin él, sería trivial leer el contenido de su directorio de inicio, por ejemplo, conectando una memoria USB de arranque en vivo.
Los permisos de Linux solo funcionan en su propio sistema. Si toma el disco y lo pone en otra computadora, o simplemente inicia otro sistema operativo en la misma computadora que puede leer su partición de Linux, verá claramente que los permisos no le impiden acceder al contenido de su directorio principal. >
Además de las respuestas, hay algunas advertencias menores que hay que tener en cuenta acerca de estas configuraciones encriptadas.
Cuando no ha iniciado sesión en su sistema, no se puede acceder a los datos de su directorio de inicio en texto sin formato. Esto, por supuesto, es por diseño. Esto es lo que evita que un atacante obtenga acceso a sus archivos. Sin embargo, esto significa que:
Puedes poner tus authorized_keys directamente en tu directorio de inicio no cifrado siguiendo estas instrucciones sin la necesidad de vincularlas en ningún otro lugar. enlace
Si no está utilizando el cifrado de disco completo, debe utilizar el cifrado del directorio principal. De lo contrario, cualquier persona con acceso físico a la computadora puede hacerlo sin acceso al sistema operativo.
Si su atacante con acceso físico podría quitar el disco duro, conectarse a un lector externo, copiar el directorio de inicio, robar datos, volver a colocar el disco duro en la computadora. Dependiendo de los datos que haya almacenado en su directorio personal, las cosas pueden ser bastante problemáticas.
Espero que esto te haya dado una idea ...
La razón por la que cifras tu directorio de inicio es por seguridad. Como se mencionó anteriormente, existen varias ventajas y desventajas para cifrar su directorio de inicio, no es algo que deba tomarse a la ligera. Si va al punto de cifrar su directorio de inicio, también hará que la contraseña de cifrado sea diferente a su contraseña de inicio de sesión. Cada vez que se inicia el sistema, se le solicitan dos contraseñas, su contraseña de inicio de sesión y la contraseña de cifrado del directorio principal. En esta situación, si le roban la unidad o la computadora, el ladrón no tendrá acceso a su directorio personal cifrado. Incluso el arranque de la computadora con un sistema en vivo (cdrom / dvd / usb stick) no le permitiría al ladrón acceder a su directorio personal cifrado. Todo lo que vería el ladrón es basura en su directorio de inicio ya que no tendrían la contraseña de cifrado. Su contraseña de inicio de sesión no ayudaría al ladrón de ninguna manera. Espero que esto ayude.
Se supone que el directorio principal cifrado en una computadora es menos accesible en la eventualidad de que la computadora o algunas de sus partes sean robadas o accedidas sin los derechos adecuados.
El cifrado puede ser útil si necesita proteger la información privada o confidencial que almacena en su directorio principal.
Las respuestas (especialmente la de tim ) ya responden a la pregunta sobre por qué le gustaría cifrar el directorio de inicio Sin embargo, hay una advertencia de la que nadie habló.
Encriptar solo el directorio de inicio en Linux es de baja seguridad.
Varias aplicaciones almacenan archivos temporales en /tmp y /var/run (o simplemente /run , que debería ser un enlace flexible a /var/run ). Por lo tanto, aunque el directorio principal está protegido, estos archivos temporales se almacenan en texto sin formato y un atacante competente investigará los archivos temporales.
/tmp y /var/run (y /run ) también deben estar encriptados, o montados como tmpfs (un sistema de archivos en la memoria, pero para esta opción lea el siguiente punto).
El swap es otro lugar donde las aplicaciones pueden almacenar un archivo en textos sin formato. La aplicación tendrá el archivo en la memoria y el núcleo puede intercambiar las páginas de la memoria que contienen el archivo (que está en texto plano en la memoria). Esto también sucederá con los archivos en un tmpfs .
Si tiene algo cifrado en una máquina, siempre debe cifrar el intercambio también. De lo contrario, un atacante competente puede escanear la partición de intercambio en busca de firmas de archivos y recuperar archivos completos (o partes de) en texto sin formato.
Si tiene cifrado de disco completo (en todos los discos del sistema), estas no son preocupaciones.
Lea otras preguntas en las etiquetas encryption linux permissions