个人本地服务器磁盘加密方案。
数据最起码保证被偷了不会泄露。
方案一:安装自带的加密(现在就是)
留 /boot/efi ,把 swap (可以不要),/root ,/data 全加密了。缺点是因为每次开机都要先输入密码,断电恢复自动开机他就卡在这了。
方案二:只加密数据盘
好处是自动开机后我可以 ssh 进来挂载硬盘并启动服务。准备用 veracrypt 。
方案二是最近看别的帖子突然想到的,都没想到重要数据也可以不用全盘加密,有啥我没想到的问题和风险吗,能不能执行。
----------------------- 以下是精选回复-----------------------
答:断电重启可以在 initrd 里开个 sshd/dropbear 远程 ssh 上来填密码。
答:veracrypt 在解密后,会把解密和数据存放在内存里,只要别人没有 memory-dump ,数据就不会泄露。当然,如果在虚拟机使用 veracrypt ,数据没有任何安全性。虚拟机拍一个快照,直接把内存也保存下来了。话说虚拟机也不知道自己被暂停了,对于想解密的人来说,有暂停的快照可以无限分析
答:我反正是用 dropbear 挺好的!可以在 Linux 引导过程中通过网络 sshd 输入密码!
我所有的 VPS 也是全盘 luks 加密,只要你网络没问题 dropbear 很稳定!
答:可以通过一个云服务盐加密
答:在 http://eliooyang.com 可以购买不同地域服务器云
0条评论