在安装过程中,我应该在Debian中encryption什么?

我在网上看到了各种各样的指南和build议,关于如何做到这一点,但没有明确解释最好的方法和原因。 所以我知道在安装过程中需要部分Debian在自己的分区上进行未encryption以允许启动。 我所看到的大多数信息都是调用这个/ boot并设置启动标志。 接下来,我认为最好的方法是从所有其他磁盘空间创build另一个分区,对其进行encryption,然后创build一个LVM,然后在LVM中创build我的各个分区,为它们命名,select大小和文件系统types。 我可以在encryption的LVM部分中包含/交换吗? 这种方法听起来吗? 如果是的话,我应该使用什么分区(这将是一个最小的服务器安装,以便当我需要一个开发服务器时安装)。 最后,安装程序如何知道要在每个我定义的分区中放置什么?

我明白,有不止一个问题,但任何帮助和build议,将不胜感激。 如果需要进一步澄清,请在评论中提及。

编辑:16/3/2010

Richard Holloways的回复后,我认为这是相关的添加此信息:

我希望这样做的原因是为了在计算机安全和取证方面感兴趣,探索最大化安装和安装服务器的安全性。 另外,我正在试图把这个任务当作是在企业中进行的。

在一个技术问题上,一旦build立和configuration最小的包和ssh这个服务器将不会很容易访问,所以我只能通过SSH进入。 (是的,我知道为什么要encryption一些没有人能够得到的东西,因为我可以和我想要的是简单的答案,但也可以参考上面的内容)。

为什么要encryption呢? 我在这里扮演魔鬼的拥护者,但是有一个原因。

有可靠的理由encryption可移动驱动器和笔记本电脑和其他便携式设备,如果你失去它们。

我想如果有人偷了它或获得本地访问权限,你可能会丢失一台服务器。

对于笔记本电脑和其他个人机器,您可以键入密码短语以使服务器能够在引导时或根据需要解密设备。

你能在服务器上做到这一点吗? 如果服务器不需要这种干预,并且可以在启动时解密设备,则服务器对于encryption不是更安全。

答案取决于你的情况以及你正在努力达到的目标。 没有规则说你必须encryption一切,如果你不知道你为什么这样做,我怀疑你不需要。

根据您的编辑:

我将这样分区的磁盘:

第一个分区100MB安装在/ boot作为ext3

其余的磁盘格式化为encryption的LVM。

然后我这样分区LVM分区:

创build一个卷组vg0

创build这个逻辑卷:

/ dev / vg0 / root作为3GB的ext3挂载在/ root上

/ dev / vg0 / swap用作swpa空间,是RAM大小的两倍

/ dev / vg0 / var作为7GB的ext3挂载在/ var上

/ dev / vg0 / home作为ext3使用其余的可用空间安装在/ home上。

然后除了/ boot,所有的东西都被encryption。

取决于分配。 一般来说,您必须encryption所有内容(读取为:swap应该是encryptionLVM中的卷)。 没有encryption的东西,你应该保存在只与你保持一致的CD-ROM上,或者确保没有人replace它。 将密码放在BIOS中,只能从CD-ROM启动。