×
Outbyte PC Repair
Outbyte Driver Updater

在 Ubuntu 上加密硬碟的分步指南

2024/12/03
在 Ubuntu 上加密硬碟的分步指南

實施磁碟加密是保護敏感資料的有效方法。如果沒有適當的加密,即使是強大的系統密碼也可能無法防止透過替代作業系統未經授權地存取您的檔案。

加密將可讀資料變更為不可讀的格式,稱為密文,只能使用特定金鑰將其還原為原始形式。大多數 Linux 發行版在安裝階段或安裝後支援全碟加密。

本指南將引導您完成在 Ubuntu 中保護磁碟的過程,無論您是首次安裝還是在已建立的系統中新增加密。

了解全碟加密

全磁碟加密 (FDE) 可保護整個儲存驅動器,涵蓋所有檔案和重要係統資料。例如,啟動時,您需要輸入密碼或金鑰才能存取驅動器,然後再登入您的使用者帳戶。

為了獲得最大的安全性,最好在 Linux 安裝過程中加密整個磁碟。這可確保系統分區和交換區域都受到保護,從而實現流暢的加密體驗,而不會出現任何複雜情況。但是,值得注意的是,全碟加密可能會稍微影響效能,尤其是在較舊的電腦上。

磁碟加密的優點和缺點

雖然加密整個硬碟提供了令人信服的安全案例,但它確實帶來了一些挑戰。讓我們探討一下這些優點和缺點。

磁碟加密的優點

  • 加強隱私保護
  • 對作業系統及其檔案的存取僅限於擁有加密金鑰的人
  • 防止國家機構或駭客未經授權的監視

磁碟加密的缺點

  • 與不同發行版上的 Linux 檔案系統互動可能很複雜甚至不可行
  • 從加密分割區恢復資料是不可能的
  • 遺失解密金鑰可能會導致永久資料遺失

準備安裝

為了獲得 Ubuntu 加密的最佳效果,請在安裝過程中在作業系統層級啟動此程序。加密活動的 Ubuntu 設定是不切實際的,因此請確保所有重要檔案都備份到 Dropbox、Google Drive 或外部硬碟。之後,您就可以重新安裝 Ubuntu了。

ubuntu-加密-ubuntu-alternative-下載

首先下載最新的Ubuntu版本,並準備一個最小容量為2GB的USB隨身碟。

您需要軟體來建立即時 USB 磁碟;下載蝕刻工具。解壓縮下載的文件,然後右鍵單擊解壓縮的文件或在突出顯示的文件上按 Enter 鍵來運行它。

從網路上下載 Etcher 工具。

在 Etcher 中,按一下「選擇映像」按鈕並導覽至先前下載的 Ubuntu ISO 映像。插入您的 USB 隨身碟,Etcher 會自動偵測並為您選擇它。最後,點擊Flash!按鈕開始 USB 建立過程。

過程完成後,在 USB 仍連接的情況下重新啟動計算機,訪問 BIOS 設置,然後選擇從 USB 啟動。

在 Ubuntu 安裝期間啟用全碟加密

Ubuntu 在安裝過程中提供了使用者友好的全碟加密選項,透過整合著名的磁碟加密標準 LUKS(Linux 統一金鑰設定)簡化了流程。一旦啟動加密,如果不重新格式化磁碟就無法將其停用。

首先從 Ubuntu 安裝介質啟動。當您到達分割區步驟時,選擇進階功能以啟用加密。

Ubuntu 安裝中磁碟的進階功能選項。

接下來,選擇使用 LVM 和加密選項。 LVM(邏輯磁碟區管理)允許更靈活的磁碟空間管理,從而更容易調整分割區大小或處理多個邏輯磁碟區。

選擇 LVM 和加密選項。

然後,您將建立安全金鑰(密碼),每次開機系統存取加密磁碟機時都需要該金鑰。

建立密碼密鑰

最後,安裝程式將展示新的分割區佈局,包括 LVM 設定。啟動加密後,這些設定將被安全編碼。在繼續之前檢查並確認您的變更。

審查選擇

完成設定後,完成安裝並重新啟動系統。每次啟動時,您都需要輸入安全金鑰來解密磁碟機;如果沒有它,儲存的資料將無法存取。

需要注意的是,您無法對已安裝的 Ubuntu 版本套用全碟加密。但是,可以選擇使用 LUKS 或其他類似工具加密特定目錄或分割區。

安裝後保護您的磁碟

如果 Ubuntu 已經在您的電腦上執行,而且您不想進行完全重新安裝,您仍然可以透過加密特定區域(例如主目錄和交換空間)來增強系統的安全性。主目錄通常包含使用者特定的敏感文件,而作業系統則利用交換空間進行臨時 RAM 儲存。

安裝後加密主目錄和交換區域增加了額外的安全層,無需完全刷新系統即可保護資料。這個過程相當簡單;但是,請務必確保對恢復密碼保密,以避免任何潛在的資料遺失。

首先,您需要安裝Ecryptfs-utilsCryptsetup軟體套件以進行部分加密:

您無法在登入時加密活動主目錄。

新增的臨時用戶。

按照提示設定密碼並提供使用者資訊。接下來,為新建立的使用者指派 sudo 權限:

透過電源選單登出並切換到臨時用戶:

在 Ubuntu 中從電源選單切換使用者。

現在,繼續加密目標使用者的主目錄:

使用 ecryptfs 工具加密 Ubuntu 中的主目錄。

替換為主用戶的實際使用者名稱。系統將提示您輸入主用戶的密碼。根據目錄的大小,此操作可能需要一段時間。

加密完成後,退出臨時用戶並返回您的原始帳戶。透過建立和存取測試文件來驗證加密:

如果檔案建立和讀取成功,則加密已正確套用。

此外,為了降低失去資料存取權限的風險,建議透過執行以下命令來記錄恢復密碼:

解開主目錄加密的密碼。

出現提示時,輸入您的登入密碼。

加密交換空間

交換空間利用磁碟儲存擴展實體記憶體 (RAM)。加密此交換空間可確保機密資訊不會駐留在未受保護的虛擬記憶體中。但是,此操作可能會影響系統的掛起/恢復功能。

若要在 Linux 系統上建立交換空間,您可以選擇建立交換檔案或交換分割區。如果您已經有交換文件,您可以使用以下命令檢查目前的交換空間:

若要加密交換空間,請執行:

加密交換空間分割區。

然後,刪除臨時用戶:

另外,在加密過程中,將會建立主目錄的備份,您可以/home透過執行ls -lh /home指令在「 」中找到該備份。

如果一切正常,您可以使用以下命令安全地刪除備份:

結論

無論您是建立新的設置還是強化現有的設置,加密都可以提供基本的防禦層。此外,您還可以使用 Cryptsetup 等工具與 LUKS 進行分區級或整個驅動器加密,或選擇用戶友好的程序,例如 VeraCrypt。

請記住,加密只是更廣泛的安全框架的一個組成部分。為了保護 Linux 筆記型電腦的隱私,請考慮將其與防火牆和多因素身份驗證等其他措施結合起來,以實現全面的資料保護。

圖片來源為DepositPhotos 的Lock on hdd 或harddrive。所有編輯和螢幕截圖均由 Haroon Javed 進行。

Outbyte PC Repair
Outbyte Driver Updater

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *