问用科学Linux (ala‘RedHat)对主目录进行快速加密

EN

Linux下有三种主要的存储加密可能性。从最低到最高，从最快到最慢，从最不灵活到最灵活：

• Dm-地窖对整个文件系统(或更一般的任何存储设备)进行加密。您获得了最好的性能，但是您必须在组织存储分区时决定使用它，并且每个分区都有一个键。
• Ecryptfs加密用户的主目录。每个用户都有自己的密钥。加密是在内核中执行的，但是加密是在文件级别，而不是在块级别，这使得事情慢下来。
• Encfs加密几个文件。这可以由普通用户设置，因为它只需要管理员提供熔断器。您可以很容易地拥有多个具有不同密钥的文件系统。比另外两个人慢。

考虑到你的限制，dm显然是正确的选择。只加密需要加密的文件，而不是操作系统，就可以获得更好的性能。如果您还没有真正开始使用您的新系统，那么重新安装将会更简单，但是您也可以通过从诸如SystemRescueCD这样的活动CD引导您的现有系统来工作。

创建一个系统分区和一个单独的/home分区，如果您不希望对整个主目录进行加密，而是只对一些选定的文件进行加密，那么甚至创建一个单独的/encrypted分区。为要加密的一个文件系统创建一个dmcrypt卷。

通过选择最快的密码，可能会得到一些好处。AES-128而不是AES-256应该在不增加安全性的情况下给您带来非常轻微的性能提升。选择CBC而不是XTS作为密码模式，因为您不需要完整性：cryptsetup luksCreate -c aes-cbc-sha256 -s 128。您甚至可以选择aes-cbc-plain作为密码:它是不安全的，但只有当攻击者能够在您的系统中放置选定的文件时，这对您的用例并不重要；不过，我不知道性能是否有任何提高。当您挂载磁盘时，哈希(-h)的选择只会影响验证密码的时间，所以不要吝啬它。