Вопросы Теги

Зашифрованный домашний раздел + зашифрованный своп + рабочий спящий режим

Я хотел бы настроить шифрование диска в Ubuntu 13.10 таким образом, чтобы у меня было

  • обычный /
  • зашифрованный /home раздел
  • зашифрованный своп раздел
  • рабочий спящий режим и возобновление

Как следует из этих требований, это должно защитить меня от потенциального вора ноутбука, читающего мои личные данные. Поскольку / не зашифрован, он не защищает от того, что кто-то заберет ноутбук, установит кейлоггер и вернет его мне.

Я прочитал EnableHibernateWithEncryptedSwap , но он написан для Ubuntu 12.04, и я не уверен, что он все еще работает или что это рекомендуемый способ.

Что будет с современной установкой?

4
задан 27 December 2013 в 02:46

1 ответ

Мне удалось настроить зашифрованный дом и зашифрованный обмен с рабочим режимом гибернации.

Я использую uswsusp и в значительной степени следовал этой статье - все еще работает для Ubuntu 13.10.

  • При загрузке я получаю два запроса пароля (один для дома и один для подкачки) под логотипом Ubuntu.
  • С apt-get install uswsusp, Ubuntu автоматически переключил pm-hibernate на использование uswsusp, так что все инструменты GUI также используют его.
  • При выходе из спящего режима я получаю одно приглашение к вводу пароля, как и ожидалось.

Некоторые части моей настройки:

Создание зашифрованных разделов 

# For /home
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb2
# For swap
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb3

  • Я использую aes-xts-plain потому что он самый быстрый в cryptsetup benchmark (работает только с cryptsetup> = 1.6). Во многих руководствах используется aes-cbc-essiv, но из того, что я читал до сих пор, xts защищает от водяных знаков так же хорошо, как и cbc-essiv. Если вы используете разделы> = 2 ТБ, вы должны использовать aes-xts-plain64 вместо -plain. Более подробную информацию об этих опциях и вариантах можно найти здесь здесь .

  • После создания этих разделов вам, конечно, нужно создать соответствующие файловые системы на них, например, с mkswap /dev/mapper/cryptoposwap и mkfs.ext4 /dev/mapper/cryptohome.

/ etc / crypttab 

cryptohome   /dev/disk/by-uuid/8cef7fd1-cceb-4a4a-9902-cb9a5805643c   none   luks,discard
cryptoswap   /dev/disk/by-uuid/a99c196d-55df-460f-a162-00c4ea6d46e6   none   luks,discard

/ etc / fstab 

UUID=a4a2187d-a2d2-4a4c-9746-be511c151296  /       ext4   errors=remount-ro  0  1
/dev/mapper/cryptoswap                     none    swap   sw,discard         0  0
/dev/mapper/cryptohome                     /home   ext4   discard            0  2
  • Я использую discard опция в обоих crypttab и fstab, чтобы включить TRIM для SSD, который я использую.
  • Мне пришлось отрегулировать /etc/initramfs-tools/conf.d/resume от старого UUID подкачки до нового /dev/mapper/cryptoswap, чтобы избавиться от предупреждения на update-initramfs -u -k all.

Это все еще очень похоже на EnableHibernateWithEncryptedSwap , но, похоже, мне не нужно было редактировать /usr/share/initramfs-tools/scripts/local-top/cryptroot, /etc/acpi/hibernate.sh (если у вас есть подсказка, почему это было необходимо, пожалуйста, оставьте комментарий - может быть, разница в том, что эта установка использует uswsusp?).

0
ответ дан 27 December 2013 в 02:46

Другие вопросы по тегам:

Похожие вопросы: