I dati di qualsiasi programma in esecuzione potrebbero finire in swap, quindi anche il tuo spazio di swap deve essere crittografato. A meno che tu non voglia ibernare il tuo sistema, lo spazio di swap può essere crittografato con una chiave casuale che viene generata ad ogni avvio. Questo è il caso per impostazione predefinita se si seleziona la crittografia dell'intero disco durante l'installazione, ma non se in seguito si crittografa semplicemente la directory home. Se il tuo spazio di swap non è già crittografato, configuralo con `ecryptfs-setup-swap. Se vuoi avere sia lo spazio di swap che l'ibernazione, vedi Enable Hibernate With Encrypted Swap nella documentazione della community di Ubuntu.
Molti programmi inseriscono file temporanei in /tmp . Il modo migliore per gestirlo è inserire /tmp sul filesystem supportato da memoria tmpfs invece di lasciarlo su un filesystem supportato da disco. C'è anche un leggero vantaggio in termini di prestazioni. Vedi questo articolo per sapere come farlo.
Oltre a ciò, i dati privati possono finire in vari luoghi che non sono la tua area di archiviazione privata. Devi decidere in base a ciò che consideri riservato se vale la pena crittografare queste aree. Ecco alcuni luoghi degni di nota:
- Se ricevi la posta localmente (invece di recuperarla da un server POP o IMAP), arriva in
/var/mail. Se invii posta utilizzando il metodo unix tradizionale (sendmail), transita per/var/spool/postfix(o qualunque sia il tuo MTA). Se non capisci questo paragrafo, non si applica a te. - Se imposti attività ricorrenti, vengono memorizzate in
/var/spool/cron. - Quando stampi qualcosa, transita in
/var/spool/cups. - Il sistema si registra in
/var/logpotrebbe contenere dati che preferiresti mantenere privati, come errori di rete da siti a cui hai provato a connetterti. - La configurazione del tuo sistema in
/etcpotrebbe contenere alcune cose riservate come ISP o password Wi-Fi.
Se crittografi la tua home directory con ecryptfs, fai attenzione che non verrà montata se accedi in remoto con SSH mentre non sei connesso localmente, quindi se lo fai, il tuo file di chiave pubblica SSH (~/.ssh/authorized_keys ) deve essere presente sia in formato crittografato che in chiaro.
Dipende da cosa intendi proteggere. Se tutto ciò che vuoi tenere al sicuro risiede in /home/, allora sei a posto. Altrimenti no.
Ad esempio, /var/spool/mail/ contiene l'e-mail di sistema inviata all'utente. /var/spool/cron/ contiene i tuoi crontab. E se sei preoccupato per un attore malintenzionato con accesso locale (scenario "cameriera malvagia") che interferisce con la tua sicurezza, allora non sicuramente. sufficiente.
La crittografia Homedir è comoda e semplice e ti consente di proteggere le tue cose personali dalla tua sorella maggiore. Ma non è la crittografia dell'intero disco, che è probabilmente quello che vuoi se stai ponendo questa domanda.
I tentativi di accesso non riusciti sono frequenza limitata se fatto tramite PAM, ma gli attacchi di forza bruta contro la tua crittografia sarebbero comunque offline, quindi il tuo sistema operativo non tiene conto.