Я хотел бы настроить шифрование диска в Ubuntu 13.10 таким образом, чтобы у меня было
/
/home
раздел Как следует из этих требований, это должно защитить меня от потенциального вора ноутбука, читающего мои личные данные. Поскольку /
не зашифрован, он не защищает от того, что кто-то заберет ноутбук, установит кейлоггер и вернет его мне.
Я прочитал EnableHibernateWithEncryptedSwap , но он написан для Ubuntu 12.04, и я не уверен, что он все еще работает или что это рекомендуемый способ.
Что будет с современной установкой?
Мне удалось настроить зашифрованный дом и зашифрованный обмен с рабочим режимом гибернации.
Я использую uswsusp
и в значительной степени следовал этой статье - все еще работает для Ubuntu 13.10.
apt-get install uswsusp
, Ubuntu автоматически переключил pm-hibernate
на использование uswsusp, так что все инструменты GUI также используют его. Некоторые части моей настройки:
Создание зашифрованных разделов
# For /home
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb2
# For swap
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb3
Я использую aes-xts-plain
потому что он самый быстрый в cryptsetup benchmark
(работает только с cryptsetup> = 1.6). Во многих руководствах используется aes-cbc-essiv
, но из того, что я читал до сих пор, xts
защищает от водяных знаков так же хорошо, как и cbc-essiv
. Если вы используете разделы> = 2 ТБ, вы должны использовать aes-xts-plain64
вместо -plain
. Более подробную информацию об этих опциях и вариантах можно найти здесь здесь .
После создания этих разделов вам, конечно, нужно создать соответствующие файловые системы на них, например, с mkswap /dev/mapper/cryptoposwap
и mkfs.ext4 /dev/mapper/cryptohome
.
/ etc / crypttab
cryptohome /dev/disk/by-uuid/8cef7fd1-cceb-4a4a-9902-cb9a5805643c none luks,discard
cryptoswap /dev/disk/by-uuid/a99c196d-55df-460f-a162-00c4ea6d46e6 none luks,discard
/ etc / fstab
UUID=a4a2187d-a2d2-4a4c-9746-be511c151296 / ext4 errors=remount-ro 0 1
/dev/mapper/cryptoswap none swap sw,discard 0 0
/dev/mapper/cryptohome /home ext4 discard 0 2
discard
опция в обоих crypttab
и fstab
, чтобы включить TRIM для SSD, который я использую. /etc/initramfs-tools/conf.d/resume
от старого UUID подкачки до нового /dev/mapper/cryptoswap
, чтобы избавиться от предупреждения на update-initramfs -u -k all
. Это все еще очень похоже на EnableHibernateWithEncryptedSwap , но, похоже, мне не нужно было редактировать /usr/share/initramfs-tools/scripts/local-top/cryptroot
, /etc/acpi/hibernate.sh
(если у вас есть подсказка, почему это было необходимо, пожалуйста, оставьте комментарий - может быть, разница в том, что эта установка использует uswsusp
?).