每个用户都有一些第三方不应能访问的机密数据。 越是依赖移动计算以及在不同环境和网络中工作,就越应该小心处理数据。如果其他人可以通过网络或实际访问您的系统,建议对文件或整个分区进行加密。便携式计算机或可卸媒体(例如外部硬盘或 USB 记忆棒)有可能被盗或丢失。因此,建议对包含机密数据的文件部分进行加密。
可以通过以下几种加密方法来保护数据:
- 加密硬盘分区
可在安装期间或在已安装的系统中使用 YaST 创建加密分区。 有关细节,请参考第 47.1.1 节 “在安装过程中创建加密分区”和第 47.1.2 节 “在运行的系统上创建加密分区”。此选项还可用于可移动媒体(如外部硬盘),如第 47.1.4 节 “加密可移动媒体的内容”中所述。
- 作为容器创建加密文件
可以随时使用 YaST 在硬盘或可卸媒体上创建加密文件。之后可使用加密文件来储存其他文件或文件夹。 有关更多信息,请参考第 47.1.3 节 “作为容器创建加密文件”。
- 加密用户主目录
用 SUSE Linux Enterprise 还可以为用户创建加密的主目录。用户登录系统时,装入加密的用户主目录,内容对该用户可用。有关更多信息,请参考第 47.2 节 “使用加密的用户主目录”。
- 加密单个 ASCII 文本文件
如果只有少量 ASCII 文本文件存有敏感或机密数据,则可使用 vi 编辑器对这些文件逐个加密并加密保护。有关更多信息,请参考第 47.3 节 “使用 vi 加密单个 ASCII 文本文件”。
![[Warning]](admon/warning.png) | 加密媒体提供有限的保护 |
|---|---|
本章中描述的方法仅提供有限的保护。无法保护正在运行的系统免受危害。成功装入加密媒体后,具有适当权限的所有用户都可以访问它。但是,加密媒体在计算机丢失或被窃的情况下,可以有效防止未授权人员读取您的机密数据。 | |
使用 YaST 在安装期间或已安装的系统中加密分区或部分文件系统。 但是,在已安装的系统中加密分区更加困难,因为必须重调整分区大小和更改现有分区。在此情况下,创建一个定义大小的加密文件来储存其他文件或部分文件系统可能更加方便。 要加密整个分区,需要在分区布局中提供一个专用于加密的分区。 默认情况下,YaST 的标准分区建议并不包括加密分区。请在分区对话框中手动添加此分区。
| 密码输入 |
|---|---|
确保牢记加密分区的密码。没有这个密码,您将无法访问或恢复加密数据。 | |
用于分区的 YaST 专家对话框提供了创建加密分区所需的选项。 要创建新的加密分区,请执行以下操作:
通过+从“YaST 控制中心”运行 YaST 分区程序。
单击并选择一个主分区或逻辑分区。
为此分区选择所需的文件系统、大小和装入点。
如果只在必要时才装入加密文件系统,请启用 中的。
激活复选框。
单击。系统将提示您输入用于加密此分区的密码。不会显示该密码。为了避免输入错误,请输入两次密码。
单击完成此过程。现在已创建了新的加密分区。
除非已选中,否则操作系统引导时将在装入分区前要求输入密码。装入分区后,此分区对所有用户都可用。
要在启动期间跳过装入加密分区,可在提示输入密码时按 Enter 键。然后,再次拒绝输入密码的提示。 在此情况下,不装入加密文件系统,并且操作系统继续引导并阻止对您的数据的访问。
要访问引导时未装入的加密分区,请通过输入 mount 来手动装入分区。在系统提示时输入密码。完成分区装入后,使用 umount name_of_partition mount_pointname_of_partition
在已存在多个分区的计算机上安装系统时,还可决定在安装期间加密现有分区。 在此情况下,请遵循第 47.1.2 节 “在运行的系统上创建加密分区”中的描述并注意此操作将会损坏要进行加密的现有分区中的所有数据。
| 在运行的系统中激活加密 |
|---|---|
还可以在正在运行的系统上创建加密分区。 但是,加密现有分区会损坏现有分区中的所有数据,并需要重调整现有分区的大小以及结构。 | |
在正在运行的系统上,在“YaST 控制中心”中选择+。单击继续。 在 中选择要加密的分区,并单击。其余过程与第 47.1.1 节 “在安装过程中创建加密分区”中描述的过程相同。