加密分割區和檔案

目錄

47.1. 以 YaST 設定加密檔案系統
47.2. 使用加密主目錄
47.3. 使用 vi 加密單一 ASCII 文字檔案

每一位使用者都有一些第三方無法存取的機密資料。越依賴於行動計算,以及越依賴於在不同環境和網路中工作,處理資料時就越要多加小心。如果其他人對您的系統擁有網路或實體存取權,則建議對文件或整個分割區進行加密。筆記型電腦或抽取式媒體 (例如外接式硬碟或 USB 晶片組) 很容易遺失或被盜。因此,建議對存放機密資料的檔案部份進行加密。

有幾種方法可以藉由加密的方式來保護您的資料:

加密硬碟分割區

您可以在安裝期間或在已安裝的系統上,使用 YaST 建立加密的分割區。請參閱第 47.1.1 節「在安裝時建立加密分割區」第 47.1.2 節「在執行系統上建立加密分割區」以取得詳細資料。這個選項也可用於抽取式媒體,如外接式硬碟 (如第 47.1.4 節「加密抽取式媒體內容」所述)。

建立加密檔案做為容器

您隨時都可使用 YaST 在硬碟或抽取式媒體上建立加密的檔案。然後使用這個加密檔案來存放其他檔案或資料夾。若需更多資訊,請參閱第 47.1.3 節「建立加密檔案做為容器」

加密主目錄

您亦可透過 SUSE Linux Enterprise,為使用者建立加密的主目錄。使用者登入系統時,就會掛載加密的主目錄,且使用者可使用其中的內容。如需相關資訊,請參閱第 47.2 節「使用加密主目錄」

加密單一 ASCII 文字檔案

如果只有少數 ASCII 文字檔案包含敏感或機密資料,您可以分別對其加密,並使用 vi 編輯器以密碼保護這些檔案。如需相關資訊,請參閱第 47.3 節「使用 vi 加密單一 ASCII 文字檔案」

[Warning]加密媒體提供有限的保護

本章說明的方法只能提供有限的保護。您無法保護執行中的系統,使其避免資料洩露。成功裝載加密的媒體後,每個使用者都必須要有適當的權限才可存取該媒體。不過,加密的媒體對於電腦遺失或失竊等狀況很有用,也可以防止未經授權的個人讀取您的機密資料。

以 YaST 設定加密檔案系統

使用 YaST 可在安裝期間或在已安裝的系統上加密分割區或檔案系統的一部分。但是,在已安裝的系統上加密分割區會比較困難,因為您必須調整現有分割區的大小並對其進行變更。在這種情況下,建立指定大小的加密檔案來存放其他檔案或檔案系統的一部分或許會比較容易。若要加密整個分割區,請固定分割區以便在分割區配置進行加密。依預設,YaST 提供的標準磁碟分割建議不包含加密分割區。在磁碟分割對話方塊中手動新增。

在安裝時建立加密分割區

[Warning]密碼輸入

請務必牢記加密分割區的密碼。沒有該密碼,您就無法存取或還原加密的資料。

YaST 分割區進階對話方塊會提供建立加密分割區所需的選項。若要建立新的加密分割區,請依以下的說明繼續:

  1. 透過系統+磁碟分割程式從 YaST 控制中心執行 YaST 磁碟分割程式。

  2. 按一下建立並選取主要分割區或邏輯分割區。

  3. 選取此分割區所需的檔案系統、大小及裝載點。

  4. 如果只在有需要時才裝載加密的檔案系統,請啟用Fstab 選項中的不要在系統啟動時裝載

  5. 啟用將檔案系統加密核取方塊。

  6. 按一下確定。您會收到提示要求您輸入用於加密此分割區的密碼。此密碼不會顯示出來。若要避免輸入錯誤,請輸入該密碼兩次。

  7. 按一下確定完成該程序。這樣便建立了新的加密分割區。

除非選取了不要在系統啟動時裝載,否則在開機期間,作業系統會在裝載分割區之前要求輸入密碼。一旦分割區裝載完成,所有使用者都可以以使用它。

若要在開機期間跳過裝載加密分割區的程序,請在要求輸入密碼時按下 Enter。接著拒絕再次輸入密碼。在此情況下,將不會裝載加密的檔案系統,接著作業系統會繼續進行開機且不會存取您的資料。

若要存取開機時未掛載的加密分割區,請輸入 mount  name_of_partition mount_point手動掛載分割區。收到提示時輸入密碼。處理完分割區後,請使用 umount name_of_partition 將其解下,以避免其他使用者存取該分割區。

在已經有許多分割區存在的機器上安裝系統時,您也可以決定在安裝期間加密現有分割區。在這種情況下,請依照第 47.1.2 節「在執行系統上建立加密分割區」中的說明執行,而且要知道這個動作將毀掉要加密的現有分割區上的所有資料。

在執行系統上建立加密分割區

[Warning]在執行系統中啟用加密

您也可以在執行中的系統上建立加密分割區。但是,加密現有分割區會毀掉其中的所有資料,而且必須調整現有分割區的大小,並重新設定結構。

在執行中的系統上,從 YaST 控制中心選取系統+磁碟分割。按一下繼續進行。在進階分割程式中,選擇要加密的分割區,並按一下編輯。其餘程序與第 47.1.1 節「在安裝時建立加密分割區」中所述的一樣。

建立加密檔案做為容器

您可以不使用分割區,而改為建立特定大小的加密檔案,來存放包含機密資料的其他檔案或資料夾。此類容器檔案可從「YaST 進階磁碟分割程式」對話方塊中建立。選取加密檔案並輸入檔案的完整路徑及其大小。接受或變更建議的格式化設定和檔案系統類型。指定裝載點,並決定系統開機時是否裝載加密檔案系統。

加密分割區上的加密容器檔案有一個好處,即您無需重新分割硬碟便可新增加密容器檔案。他們會透過迴路設備進行裝載,且運作方式就跟一般分割區一樣。

加密抽取式媒體內容

YaST 處理抽取式媒體的方式,跟處理外接式硬碟或 USB 隨身碟等任何其他硬碟一樣。這類媒體上的容器檔案或分割區可依上述方式加密。但請啟用 Fstab 選項對話中的開機時不掛載,因為抽取式媒體通常只會在系統執行時連接系統。

如果您已使用 YaST 對抽取式設備進行加密,KDE 與 GNOME 桌面在偵測到該設備時會自動辨識加密的分割區,並提示輸入密碼。如果您在執行 KDE 或 GNOME 時插入 FAT 格式化的抽取式設備,輸入密碼的桌面使用者將自動成為設備的擁有者,並且可以讀寫檔案。對於檔案系統不是 FAT 的設備,請明確變更除 root 之外使用者的擁有權,以讓這些使用者能夠讀寫設備上的檔案。