关于系统全盘加密的一些疑问？（bitlocker，luks，veracrypt）

thegodra

需求：
1，系统全盘加密
2，登陆时只用输入一次密码
3，不登陆系统也能运行服务

解析：
1，陈老师之鉴，应该重视，虽然没有那么重要的东西，也不需要很复杂的加密；
哪天设备或者硬盘不小心遗落，至少别人看不到内容。

2，以前用过一次没有tpm的bitlocker，首先开机需要输一次密码，然后才进Windows；
而且密码必须设置的非常复杂。
而且现在有些旧的机器没有TPM
现在因为Win11要求TPM，这次了解了下，可以配合TPM设置Pin码来登录，硬件有变动才
需要输入恢复密码
Linux下的LUKS用过一次，但只是非系统的数据盘

3，不登陆情况下，也希望能运行服务；因为想作为文件同步（另一个咨询贴）的节点

这需求有解吗？
THX

回忆and无语

如果你的设备本身就是不安全的（可能被偷），那无解
如果你的设备是安全的，只是想防硬盘坏了送修数据泄漏的话那可以
你可以设置bitlocker，启用usb key + 密码解锁
在家中可以插着USB key，无感解密，在外手舒密码

强尼高达

回忆and无语 发表于 2021-11-18 11:31
如果你的设备本身就是不安全的（可能被偷），那无解
如果你的设备是安全的，只是想防硬盘坏了送修数据泄漏 ...

别的我不知道，bitlocker被偷怎么无解了？

citrus

我目前的Windows + Linux方案（关闭TPM），双硬盘 + FAT32 U盘一个

Windows：组策略里改为不要求TPM但要求TPM Startup Key，然后可以用BitLocker加密C盘，将密钥文件放在U盘上（应该是扩展名为bek的隐藏文件）。其余盘同样加密但设为自动解锁。

Linux：FAT32的/boot/efi（与Windows共用）和Ext4的/boot非加密，root分区先用LUKS加密（无密码，从/dev/random读取一个64byte=512bit的密钥文件）再建ext4文件系统，无swap分区。该密钥文件放在同一个U盘里，然后通过修改/etc/crypttab来实现，格式大概是这样

1. sdb3_root  UUID=xxxyyyzzz /dev/disk/by-uuid/abcd-1234:/usb-key-file.bin luks,discard,keyscript=/lib/cryptsetup/scripts/passdev

复制代码

其中sdb3_root为你给root分区起的名字（解密后可在/dev/mapper/里看到），第一个UUID是解密前该分区的UUID，第二个/dev/by-disk/abcd-1234是U盘的UUID，bin文件是前述的512bit密钥

现在开机或重启时，需把U盘插入电脑进入两个操作系统中任何一个（否则硬盘不解密），登录任何一个操作系统都只需输入一次密码。只要硬盘解密成功，Linux下的服务可以无登录正常运行。为了安全和方便兼顾，可以把linux用户设一个简单密码，但把远程ssh密码登录禁止掉，仅允许ssh key验证。

回忆and无语

强尼高达 发表于 2021-11-18 11:53
别的我不知道，bitlocker被偷怎么无解了？

bitlocker本身没问题，
楼主要求

不登陆系统也能运行服务

，那就只能用tpm这样的无感解密（不设置pin）或者插着USB key，这样整台被偷就可能泄漏数据

强尼高达

回忆and无语 发表于 2021-11-18 11:58
bitlocker本身没问题，
楼主要求，那就只能用tpm这样的无感解密（不设置pin）或者插着USB key，这样整台 ...

TPM解密在Windows启动时候就完成了，login动作只是解锁桌面
开机login之后不要关机（只休眠或睡眠）或者自动login进一个运行服务专用的低权限账户都不会影响数据加密

痴货

可以参考下Ubuntu官方的教程： https://help.ubuntu.com/community/Full_Disk_Encryption_Howto_2019

这个在最新的20.4上也可以，但需要有些Linux基础

twy_2000

bitlock就可以啊。原理和手机的全盘加密一样。依赖于系统用户的密码。如果进不了系统就解不开数据。所以新的安卓手机现在被盗很难发生数据泄露了。