用 Linux mint 建立可攜式 (Portable) 的 USB 作業系統,並用磁碟加密 (Disk Encryption) 與使用者目錄加密保護內部資料

作者:

linux usb portable and disk encryption

隨著時代演進與資安教育的普及,現代人通常會在電腦內安裝防毒軟體和設定使用者密碼來保護自己的資料。但各位千萬別認為這是件理所當然的事情,過去很多政府、企業中高階主管都抱持著『反正我的網路又沒多快,被盜也沒差』的詭異想法,讓自己的電腦在網路世界裸奔。

 

 

因此台灣曾被國內外資安相關單位評論為『資安與個人隱私』防護意識最薄弱的國家,完全是意料中的事情。翠維尼

 

但設定密碼就萬無一失了嗎?其實以資料救援的角度來看,即便你的作業系統有密碼保護,工程師或『略懂電腦之人』還是可以透過其他開機裝置 (Live USB, Windows 開機救援隨身碟) 或用其他電腦來繞過這顆硬碟本身的作業系統,取得使用者的重要資料。

 

因此,除非在安裝過程中勾選『加密使用者資料』或加密 Linux 使用者分割區 (home),否則你的資料還是可能被用異機啟動的方式竊取。

 

而本文流浪貓將示範:

  1. 用 Linux mint 製作可攜式 (Portable)、重新開機後仍會保留 (Persistence) 資料的 USB 隨身碟作業系統 (不是 Live USB)。
  2. 建立 /home 分割區,並進行磁碟加密 (Disk Encryption)。
  3. 建立使用者帳號密碼時,勾選『將我的家目錄加密』。

 

透過這些措施保護電腦,即便筆電、隨身碟被偷或遺失也不必擔心資料外洩。畢竟硬體和軟體可以用錢買,但屬於自己的創造物是永遠買不到的。

 

不過請注意:

真的要保管好密碼和復原金鑰!!

一定要保管好密碼和復原金鑰!!

絕對要保管好密碼和復原金鑰!!

 

正如同幣圈銘言:「Not Your Keys, Not Your Coins」

磁碟加密也一樣:「Not Your Keys, Not Your Disks」

 

如果忘記密碼,一般的電腦頂多就是 Live USB 或異機啟動、備份資料火大重灌罷了;如果你用了磁碟加密和使用者目錄加密來保護資料的話,就算電腦之神降駕也幫不了你。

 

因此霸氣一點,直接將密碼刻在牆壁或地板上,或像我同學那樣將密碼轉換成 QR Code,將它化學蝕刻到不銹鋼板上都是不錯的方式 (?

 

 

磁碟加密軟體

常見的有 Cryptsetup、EncFS 與微軟的 BitLocker,而本文將直接以 Linux mint 安裝過程內建的硬碟加密功能來示範。(Encrypted Partitions 與 LVM, Logical Volume Manager)

 

 

建立可隨身攜帶的作業系統

流浪貓是以 UNetBootin 來建立 Linux mint Live USB 的開機隨身碟,雖然它有提供『保留多少空間來放置使用者檔案;即使重新開機,資料也不會失去 (只對 Ubuntu 有效)』的選項,不過真的僅適用於 Ubuntu。

 

雖然 Rufus 有提供更簡便的選項,但我的目標是建立磁碟加密的 /home 目錄,如果直接將 iso 塞入 USB,會造成後續設定的困難。因此長痛不如短痛,就以安裝模式把 Linux mint 灌到 USB 內即可。

 

 

建立開機磁碟分割區

不清楚這是否為將系統安裝入 USB 時會碰到的正常情況還是其他原因,在設定分割區時,一定要先建立 100 ~ 512.0 mb 以上的 efi 或 boot 開機磁區,否則安裝程式會跳出警告。而『用來安裝開機程式的裝置:』則要選 /dev/sdx ,不能選擇 /dev/sdx1 與其他選項。

 

 

建立磁碟加密分割區

沒有特別需求的使用者,直接建立 / 與 /home 分割區即可。建立家目錄 home 分割時,必須在格式類型中選擇『要進行加密的 Physical Volume』來建立加密分割區 (Encrypted Partitions),接著輸入自訂的安全金鑰與記下復原密碼 (Recovery key) 即可。

 

安裝程式會產生一個對映的加密裝置 (Device map) /dev/mapper 指向分割區 (如 /dev/sdc6)。之後將它掛載為 /home,按一般程序進行安裝即可。

 

 

使用者目錄加密保護

建立使用者帳號密碼時勾選『將我的家目錄加密』,如此一來即便磁碟加密分割區被破解 (或單純密碼外洩?),對方也無法在你的 /home/user 目錄中撈到任何東西,就算用 root 強制打開被加密的目錄,也只會看到一堆 Encrypt 的隨機、零散檔案。

 

 

結語

雖然加密硬碟與家目錄確實能提高安全等級,但它無可避免的會稍微降低電腦的效能。對一般使用者來說,其實只要建立專用的加密分割區或隨身碟來放機密檔案即可,不太需要同時用上磁碟加密和使用者目錄加密技術來保護自己的電腦。

 

下一篇,我將示範這條『可攜式 Linux USB 隨身碟系統』的開機、解密與砍掉重練救回 home 分割區的過程。

 



延伸閱讀

更多 Linux 教學

更多電腦教學

測試經磁碟加密的 Linux mint 隨身碟作業系統之效能與保密效果 

 

 

 

 

(O皿O) not by AI

留言

張貼留言

這個網誌中的熱門文章

寶鐘瑪琳中之人前世照片、年齡分析

作者:
圖片
  更多 HoloLive 怪文書 Hololive 中之人的照片與成員長相對照表 從星街彗星於 The First Take 的失利探討音樂市場的殘酷與業餘歌手的困境 從賽萊希.法娜 (Ceres Fauna) 的乳房形狀探討擁抱大自然的真諦 解構通靈主義:螺鈿沒朋友悖論與性格缺陷成為角色魅力的原因 夜空梅露畢業之謎與對白上吹雪的影響 虛擬偶像之歐派大小與訂閱數:以單因子變異數 (One Way ANOVA) 進行分析 最無聊的偶像 卻也最偶像的偶像:Gawr Gura 與百鬼綾目
繼續閱讀... »