Los datos de cualquier programa en ejecución pueden terminar en el intercambio, por lo que su espacio de intercambio también debe cifrarse. A menos que desee hibernar su sistema, el espacio de intercambio se puede cifrar con una clave aleatoria que se genera en cada arranque. Este es el caso predeterminado si selecciona el cifrado de disco completo durante la instalación, pero no si simplemente cifra su directorio de inicio más adelante. Si su espacio de intercambio aún no está encriptado, configúrelo con `ecryptfs-setup-swap. Si desea tener espacio de intercambio e hibernación, consulte Habilitar hibernación con intercambio cifrado en la documentación de la comunidad de Ubuntu.
Muchos programas colocan archivos temporales en /tmp . La mejor manera de manejar esto es poner /tmp en el sistema de archivos respaldado por memoria tmpfs en lugar de dejarlo en un sistema de archivos respaldado en disco. También hay una ligera ventaja de rendimiento. Consulte este artículo para saber cómo hacerlo.
Más allá de esto, los datos privados pueden terminar en varios lugares que no son su área de almacenamiento privado. Tienes que decidir en base a lo que consideras confidencial si vale la pena cifrar estas áreas. Estos son algunos lugares destacados:
- Si recibe correo localmente (en lugar de obtenerlo de un servidor POP o IMAP), llega en
/var/mail. Si envía correo utilizando el método tradicional de Unix (sendmail), transita por/var/spool/postfix(o cualquiera que sea su MTA). Si no entiende este párrafo, no se aplica a usted. - Si configura tareas recurrentes, se almacenan en
/var/spool/cron. - Cuando imprimes algo, transita en
/var/spool/cups. - El sistema inicia sesión bajo
/var/logpuede contener datos que preferiría mantener en privado, como errores de red de sitios a los que ha intentado conectarse o desde los que ha intentado conectarse. - La configuración de su sistema en
/etcpuede tener algunas cosas confidenciales como ISP o contraseñas wifi.
Si cifra su directorio de inicio con ecryptfs, tenga en cuenta que no se montará si inicia sesión de forma remota con SSH mientras no haya iniciado sesión localmente, por lo que si lo hace, su archivo de clave pública SSH (~/.ssh/authorized_keys ) debe estar presente tanto en forma cifrada como de texto claro.
Depende de lo que pretendas asegurar. Si todo lo que desea mantener a salvo reside en /home/, entonces es oro. De lo contrario, no.
Por ejemplo, /var/spool/mail/ contiene el correo electrónico del sistema enviado a su usuario. /var/spool/cron/ contiene sus crontabs. Y si le preocupa que un actor malintencionado con acceso local (escenario de "criada malvada") interfiera con su seguridad, definitivamente no suficiente.
El cifrado de Homedir es conveniente y simple, y le permite proteger sus cosas personales de su hermana mayor. Pero no es el cifrado de todo el disco, que es probablemente lo que desea si hace esta pregunta.
Los intentos fallidos de inicio de sesión tienen una tasa limitada si se realiza a través de PAM, pero los ataques de fuerza bruta contra su encriptación estarían fuera de línea de todos modos, por lo que su sistema operativo no se tendrá en cuenta.