Pokud je to pro případ krádeže, tak stačí šifrovat /home (případně i jen samostatné uživatele), swap (nikdy nevíte, co se do něj dostane) a pak další data, která by mohla někomu napovědět, co tam děláte (logy, nastavení, …). Když chcete utajit i používané programy, konfiguraci, atp., měl byste zvážit šifrování celého disku.

Když si počítač někdo „půjčí,“ máte problém i když to je šifrování celého disku.

Nezveřejňujte ani stará hesla

Pokud používáte LUKS, stačí ukrást tzv. hlavičku LUKS, která obsahuje informace o šifrování a „skutečný“ šifrovací klíč. Když zadáte heslo (nebo jinak LUKSu předáte klíč), rozšifruje se klíč ve hlavičce a až tím druhým se šifruje celý disk. Když si změníte heslo, pozmění se pouze hlavička tak, aby byla zašifrována novým heslem, ale data na disku zůstávají šifrována stejným klíčem (tím, který je zašifrovaný v hlavičce).

Pak z nějakého důvodu uveřejníte své staré heslo. Když si někdo „půjčil“ Váš disk/počítač a nakopíroval si LUKS hlavičku v době používání starého hesla, může ji pořád odemknout starým heslem a dostat se k Vašim datům.

Typ plain

Kromě LUKSu Linux má i typ plain. Doporučuji ho použít pro šifrování swapu. Velkou nevýhodou je to, že potřebuje velmi silné heslo, protože se vynechává celá šaškárna s LUKS hlavičkou a šifruje se přímo tímto klíčem.

Tento typ nepoužívejte pro /home, pokud opravdu nevíte, co děláte. Naopak je vhodný pro šifrování swapu klíčem, který se při každém bootu vezme z /dev/urandom, takže při každám bootu se swap šifruje jiným „heslem“ (náhodná data).

Pokud máte systém jako Debian, můžete to nastavit v /etc/crypttab (vizte cryptttab(5) ). Na gentoo to mám v /etc/conf.d/dmcrypt (tam to je včetně ukázek šifrovaného swapu a /home).

Dočasné soubory

Adresáře typu /tmp nebo /var/tmp je také dobré utajit, protože spousta programů si do nich ukládá docela citlivá data.

Existují dvě možnosti:

• Šifrovat (stačí typ plain s náhodným klíčem při bootu jako u swapu)
• Držet dočasné soubory v RAM a swapu

Já používám tu druhou možnost. Zde je kousek /etc/fstab:

none /tmp             tmpfs size=16G,mode=1777 0 0
none /var/tmp/portage tmpfs size=16G           0 0

Souborový systém tmpfs drží data v RAM a swapu. Volba size= určuje velikost a mode= je nastavení oprávnění.

První je pro dočasné soubory (4 GB RAM + 10 GB swapu stačí bohatě i pro dočasné soubory). Druhý je pro kompilace balíčků (opět moje RAM stačí).

LUKS hlavička na jiném disku

Můžete použít USB disk pro bootování a rovnou na něj uložit i LUKS hlavičku. Pak se oddíl (popř. celý disk) jeví jako plný (pseudo)náhodných dat. Problémem je ztráta/krádež USB disku – přijdete o možnost dešifrovat disk, pokud nemáte zálohu hlavičky.