Если мой ноутбук с Ubuntu 12.04 полностью зашифрован на диске, сможет ли вор извлечь мои файлы из раздела подкачки? Я предполагаю, что он / она не сможет извлечь что-либо из основного раздела, не применив некоторую форму взлома кода, присоединяющегося к нему?
полный диск зашифровал мой ноутбук [...] подкачивают раздел [...]
Полностью ваше дело, куда Вы помещаете разделы подкачки. Некоторые типичные взлеты набора:
dm-склеп на необработанном разделе и /boot
как небольшая плоскость parition, затем сверху большого crypto 'устройства' как Физический том LVM:
-> LVM Volume Group (один PV как участник) crypto
-> Логические тома LVM:
/
/home
(Дополнительно)swap
(Дополнительно)Не пытайтесь настроить, это наоборот - crypto сверху отдельного LVs не будет никакого преимущества, но только предоставления Вам головные боли.
dm-склеп на необработанном разделе как /
с отдельным /boot
и отдельный незашифрованный swap
.
Вышеупомянутое без любой подкачки. Могла бы быть хорошая идея, если у Вас есть много RAM так или иначе.
'Альтернативный' установщик для 12,04 позволит Вам делать это в полу-GUI путь. Посмотрите, например: "Как установить Ubuntu 11.04 в зашифрованной файловой системе LVM" (в то время как немного старый, все еще важный для 12,04).
вор сможет извлечь мои файлы из раздела подкачки?
Не непосредственно. Подкачка содержит пустые страницы памяти. Это был бы ад загадки для повторной сборки этого, но даже единственные страницы памяти уже могли бы содержать слишком много секретных данных. Считают небезопасным иметь незашифрованную подкачку. Пока Вы помещаете свою подкачку op вершина crypto устройства (неважно, использующий LVM, RAID, или безотносительно), Вы в порядке.
Я предполагаю, что он или она не сможет извлечь что-нибудь из основного раздела, не делая некоторой формы кода "в лоб", повреждающего нападение?
Нет, это довольно безопасно, поскольку это - смысл хорошего шифрования! Для наблюдения больше о технических деталях как используемая криптография обратитесь к тому, Что используется в 12,10 полном шифровании диска? (который также покрывает 12.04 в моем ответе).
Проблемы безопасности в другом месте. Вам будет нужно незашифрованное отдельное /boot
, неважно, как Вы настраиваете его. Это содержит ядро и initramfs. Если кто-то может играть со сценариями разблокирования или даже поместить бэкдор в ядро, они могут украсть Ваши секретные данные. Практический совет: никогда не оставляйте свой ноутбук необслуживаемым.
Обходные решения для этого (усовершенствованный настроенный!):
dm-crypt
зашифрованный ключ на отдельном флеш-накопителе, а не на самом диске. Сделайте копии этого зашифрованного ключа в случае, если Ваш флеш-накопитель перестает работать и поместил их в сейф, где никто не может достигнуть его./boot
- и всегда носите это с Вами.