Жесткий диск ноутбука, зашифрованный LVM с полным шифрованием диска

полный диск зашифровал мой ноутбук [...] подкачивают раздел [...]

Полностью ваше дело, куда Вы помещаете разделы подкачки. Некоторые типичные взлеты набора:

1. dm-склеп на необработанном разделе и /boot как небольшая плоскость parition, затем сверху большого crypto 'устройства' как Физический том LVM:

   -> LVM Volume Group (один PV как участник) crypto -> Логические тома LVM:

   • crypto-rootfs как /
   • crypto-дома как /home (Дополнительно)
   • crypto-подкачка как swap (Дополнительно)
   • покиньте некоторую комнату в группе объема, чтобы смочь использовать функции LVM

   Не пытайтесь настроить, это наоборот - crypto сверху отдельного LVs не будет никакого преимущества, но только предоставления Вам головные боли.

2. dm-склеп на необработанном разделе как / с отдельным /boot и отдельный незашифрованный swap.

   • менее гибкий, еще более портативный без LVM (например, FreeOTFE)
   • если больше crypto разделов необходимо, это означает многократно разблокировать при начальной загрузке с помощью паролей
   • подкачка могла быть настроена для использования случайного ключа crypto на каждой начальной загрузке - отключает спящий режим

3. Вышеупомянутое без любой подкачки. Могла бы быть хорошая идея, если у Вас есть много RAM так или иначе.

'Альтернативный' установщик для 12,04 позволит Вам делать это в полу-GUI путь. Посмотрите, например: "Как установить Ubuntu 11.04 в зашифрованной файловой системе LVM" (в то время как немного старый, все еще важный для 12,04).

вор сможет извлечь мои файлы из раздела подкачки?

Не непосредственно. Подкачка содержит пустые страницы памяти. Это был бы ад загадки для повторной сборки этого, но даже единственные страницы памяти уже могли бы содержать слишком много секретных данных. Считают небезопасным иметь незашифрованную подкачку. Пока Вы помещаете свою подкачку op вершина crypto устройства (неважно, использующий LVM, RAID, или безотносительно), Вы в порядке.

Я предполагаю, что он или она не сможет извлечь что-нибудь из основного раздела, не делая некоторой формы кода "в лоб", повреждающего нападение?

Нет, это довольно безопасно, поскольку это - смысл хорошего шифрования! Для наблюдения больше о технических деталях как используемая криптография обратитесь к тому, Что используется в 12,10 полном шифровании диска? (который также покрывает 12.04 в моем ответе).

Проблемы безопасности в другом месте. Вам будет нужно незашифрованное отдельное /boot, неважно, как Вы настраиваете его. Это содержит ядро и initramfs. Если кто-то может играть со сценариями разблокирования или даже поместить бэкдор в ядро, они могут украсть Ваши секретные данные. Практический совет: никогда не оставляйте свой ноутбук необслуживаемым.

Обходные решения для этого (усовершенствованный настроенный!):

• Используйте smartcard+reader, а не пароль и несите его на Вашем теле, если Ваш ноутбук не используется.
• Поместите dm-crypt зашифрованный ключ на отдельном флеш-накопителе, а не на самом диске. Сделайте копии этого зашифрованного ключа в случае, если Ваш флеш-накопитель перестает работать и поместил их в сейф, где никто не может достигнуть его.
• Всегда используйте доверяемый набор ядра и initramfs, например, при помощи той же карты флэш-памяти с интерфейсом USB как /boot - и всегда носите это с Вами.