使用加密的用户主目录

要防止用户主目录中的数据在被窃或硬盘被取下时丢失，请使用 YaST 用户管理模块以启用用户主目录加密。您可以为新的或现有的用户创建加密的用户主目录。要对现有用户主目录进行加密和解密，需要知道他们的登录密码。请参见有关指导说明。

如第 47.1.3 节 “作为容器创建加密文件”所述，加密主分区是在文件容器内创建的。会在 /home 下为每个加密用户主目录创建两个文件：

LOGIN.img: 存放该目录的映像
LOGIN.key: 映像密钥，受用户的登录密码保护。

登录时用户主目录会自动解密。在内部，该功能是通过 pam 模块 pam_mount 提供的。如果需要添加提供加密用户主目录的其他登录方法，必须在 /etc/pam.d/ 中将该模块添加到相应的配置文件。有关更多信息，另请参见第 27 章 通过 PAM 进行身份验证和 pam_mount 的手册页。

安全性限制

	安全性限制
对用户主目录加密并不能对其他用户的访问进行高度安全的防御。如果需要高度安全性，则不应物理共享该系统。为增强安全性，请同时加密 `swap` 分区以及 `/tmp` 和 `/var/tmp` 目录，因为它们可能包含关键数据的临时映像。您可以按第 47.1.1 节 “在安装过程中创建加密分区”或第 47.1.3 节 “作为容器创建加密文件”中所述，用 YaST 分区程序加密 `swap`、`/tmp` 和 `/var/tmp`。

对用户主目录加密并不能对其他用户的访问进行高度安全的防御。如果需要高度安全性，则不应物理共享该系统。

为增强安全性，请同时加密 swap 分区以及 /tmp 和 /var/tmp 目录，因为它们可能包含关键数据的临时映像。您可以按第 47.1.1 节 “在安装过程中创建加密分区”或第 47.1.3 节 “作为容器创建加密文件”中所述，用 YaST 分区程序加密 swap、/tmp 和 /var/tmp。