Быстрое шифрование для домашнего каталога с Scientific Linux (ala 'RedHat)

У меня есть T61 с C2D T7300 CPU / 4 GByte RAM. У меня есть SL 6.3 на нем, и я пометил шифрование VG во время установки. Если я начну «нормальные» окна xp на нем, его ~ медленно .. так .. Мне нужно небольшое повышение производительности 🙂

Громкое мышление / ВОПРОС: kcryptd может принимать ~ 20% (!) Процессора, но требуется шифрование .. soo Я думал, что как я могу зашифровать только домашний каталог этого 1 пользователя (и AES256 не нужен, просто очень-очень легкое шифрование , так что взломщик не может получить доступ к данным на ноутбуке, я не защищаюсь от «ЦРУ»: D или, по крайней мере, более легкое шифрование)

ОБНОВЛЕНИЕ: Я голосую за:

aes-ecb-null -s 128 

Поэтому перед установкой мне приходится вручную создавать разделы. AFAIK, используя это и не используя значение по умолчанию, действительно может повысить производительность.

UPDATE2: https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-LUKS_Disk_Encryption.html – похоже, что они используют 512 бит aes-xts-plain64.

One Solution collect form web for “Быстрое шифрование для домашнего каталога с Scientific Linux (ala 'RedHat)”

В Linux существует три основных возможности шифрования хранилища. Заказывается от самого низкого уровня до самого высокого уровня, от самого быстрого до самого медленного, от наименее гибкого до самого гибкого:

  • Dm-crypt для шифрования всей файловой системы (или, как правило, любого устройства хранения). Вы получаете максимальную производительность, но вы должны решить использовать ее при организации разделов хранения, и есть ключ для каждого раздела.
  • Ecryptfs для шифрования домашнего каталога пользователя. Каждый пользователь имеет свой собственный ключ. Шифрование выполняется в ядре, но шифрование находится на уровне файла, а не на уровне блока, что замедляет работу.
  • Encfs для шифрования нескольких файлов. Это может быть настроено обычным пользователем, так как администратору требуется только предоставить FUSE . Вы можете легко иметь несколько файловых систем с разными ключами. Это медленнее, чем два других.

Учитывая ваши ограничения, dm-crypt, безусловно, является правильным выбором. Вы можете получить лучшую производительность, зашифровав только файлы, которые необходимо зашифровать, а не операционную систему. Если вы еще не начали использовать новую систему, ее проще будет переустановить, но вы также можете работать с существующей системой, загрузившись с живого компакт-диска, такого как SystemRescueCD .

Создайте системный раздел и отдельный /home раздел или даже отдельный /encrypted раздел, если вы не хотите, чтобы весь домашний каталог был зашифрован, но только некоторые выбранные файлы. Сделайте том dmcrypt для одной файловой системы, которую вы хотите зашифровать.

Может быть немного выиграть, выбирая самый быстрый шифр. AES-128 вместо AES-256 должен дать вам очень небольшое повышение производительности без каких-либо затрат на безопасность. Выберите CBC, а не XTS для режима шифрования, поскольку вам не нужна целостность: cryptsetup luksCreate -c aes-cbc-sha256 -s 128 . Вы даже можете выбрать aes-cbc-plain как шифр: он небезопасен, но только если злоумышленник может установить выбранные файлы в вашей системе, что не имеет значения для вашего случая использования; Однако я не знаю, есть ли какие-либо выигрыши в производительности. Выбор хеша ( -h ) влияет только на время, необходимое для проверки вашей кодовой фразы при установке диска, поэтому не экономьте на ней.

  • Невозможно увидеть свободное место на диске диска
  • Почему создаются каталоги с разрешениями 2070 и файлы с 060 в каталоге с битом setgid?
  • На RHEL 6 у меня, похоже, установлен EPEL, но он не отображается в yum. Как я могу активировать его?
  • Как просмотреть графическое представление приложения с помощью ssh
  • Получить имена SAN Lun
  • Попытка удалить эхо-код пароля в Redhat 5 при входе в систему
  • Требуются ли оба смягчения, когда audit2allow предлагает и restorecon, и правило принудительного применения одного типа?
  • RHEL6: системный шрифт по умолчанию
  • Linux + iptables резервный
  • Предотвращение `passwd` для запроса локального пароля
  • egrep не работает должным образом в системе SunOS
  • Interesting Posts

    Удалите введенный код из всех php-файлов в каталоге Ubuntu

    Могу ли я запустить команду arbitary на удаленном сервере через tcpserver?

    Разделение строки до определенного места

    Force Bash 4 'globstar' вариант игнорировать символические ссылки

    Добавление шифрования в существующее программное обеспечение RAID-зеркальный том

    Как переписать многострочный путь в однострочный относительный путь

    Создание 4-х секционных дисков Linux / Windows USB

    Xorg.bin использует 100% процессор в случайном порядке (в основном после переключения TTY), с i915

    Что такое официальный Gentoo AMI?

    Как запускать программы с такими аргументами, как «arg = val» (например, dd) в rc shell (версия Linux портирована из Plan9 OS)?

    Перетаскивание окон медленнее / медленнее после установки графических драйверов ATI Radeon HF 4870 в Ubuntu 10.10 Gnome?

    Инициировать выпуск в BF548 EZkit

    Запустить тот же скрипт на нескольких серверах через SSH

    Как загрузить все страницы для чтения в офлайн-режиме?

    Отправьте процесс в фоновый режим с помощью PID

    Linux и Unix - лучшая ОС в мире.