若要保護主目錄中的資料不致遭到竊取或移除,請為使用者建立加密主目錄。這些主目錄使用 LUKS 加密,會產生複本以及複本金鑰給使用者。複本金鑰受到使用者登入密碼保護。依照預設,複本以及複本金鑰位於使用者個別的主目錄中。金鑰亦可位於檔案系統以外的任何地方,例如可手動掛載的抽取式設備。若要使用此功能,請在以 YaST 進階分割程式設定設備時,在 中指定固定名稱。
使用 YaST 使用者管理模組或 cryptconfig 指令行工具,啟用主目錄的加密。您可為新使用者或現有使用者建立加密主目錄。若要加密或修改現有使用者的主目錄,請輸入使用者目前的登入密碼。如需關於以 YaST 管理使用者的相關資訊,請參閱節 8.9.1, 使用者管理。
警告: 安全性限制
加密使用者的主目錄並不會強化對於其他使用者的安全性。若需要高度安全性,則不應共用實體系統。
若要強化安全性,請同時加密交換分割區、/tmp 與 /var/tmp,因為這裡可儲存重要資料的暫存複本。
您可如節 42.1.1, 在安裝時建立加密分割區與節 42.1.3, 建立加密檔案做為容器中所述,以 YaST 分割程式加密交換、/tmp,與 /var/tmp。除了 YaST 提供的選項以外,您也可使用 cryptconfig 指令行工具進行特殊工作。
例如,為因應使用者可能遺失金鑰檔案的考量,您可在複本中建立並新增額外金鑰。
以 root 身份登入外圍程序。
執行
cryptconfig create-key admin.key
建立管理員金鑰。
若要為使用者 tux 建立加密主目錄,並新增管理金鑰,請輸入
cryptconfig make-ehd –extra-key-file=admin.key tux 200
這樣會建立初始大小為 200 MB 的主目錄。
若要隨時變更主目錄大小,請使用
cryptconfig enlarge-size image size_to_add_in_MB
如需指令行工具的更多資訊,請執行 cryptconfig --help 檢視可用選項清單。