Вопрос Зашифрованный домашний раздел + зашифрованный своп + рабочий спящий режим


Я хотел бы настроить шифрование диска на Ubuntu 13.10, так что у меня есть

  • гладкий /
  • зашифрованная /home раздел
  • зашифрованный раздел подкачки
  • спящий режим и возобновление работы

Как показывают эти требования, это защитит меня от потенциального вора-носителя, читающего мои личные данные. С / будучи незашифрованным, он не защищает кого-то от ноутбука, установки кейлоггера и передачи его мне.

я прочитал EnableHibernateWithEncryptedSwap но он написан для Ubuntu 12.04, и я не уверен, что он по-прежнему работает или что это рекомендуется.

Что было бы самой современной настройкой?


2
2017-12-26 22:46


происхождения




ответы:


Мне удалось настроить зашифрованный дом и зашифрованный своп с рабочим спящим режимом.

я использую uswsusp и в значительной степени Эта статья - все еще работает для Ubuntu 13.10.

  • При загрузке я получаю два пароля (один для дома и один для обмена) под логотипом Ubuntu.
  • С apt-get install uswsusp, Ubuntu автоматически переключается pm-hibernate использовать uswsusp, поэтому все инструменты GUI также используют его.
  • При возобновлении спящего режима, я получаю одно приглашение пароля, как ожидалось.

Некоторые части моей настройки:

Создание зашифрованных разделов

# For /home
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb2
# For swap
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb3
  • я использую aes-xts-plain потому что это самый быстрый в cryptsetup benchmark (работает только с cryptsetup> = 1.6). Многие руководства используют aes-cbc-essiv, но из того, что я читал до сих пор, xts защищает от водяных знаков так же хорошо, как и cbc-essiv, Если вы используете разделы> = 2TB, вы должны использовать aes-xts-plain64 вместо -plain, Более подробную информацию об этих вариантах и ​​вариантах можно найти Вот,

  • После создания этих разделов вам, конечно, необходимо создать соответствующие файловые системы на них, например. с mkswap /dev/mapper/cryptoposwap  а также mkfs.ext4 /dev/mapper/cryptohome,

/ И т.д. / crypttab

cryptohome   /dev/disk/by-uuid/8cef7fd1-cceb-4a4a-9902-cb9a5805643c   none   luks,discard
cryptoswap   /dev/disk/by-uuid/a99c196d-55df-460f-a162-00c4ea6d46e6   none   luks,discard

/ И т.д. / Fstab

UUID=a4a2187d-a2d2-4a4c-9746-be511c151296  /       ext4   errors=remount-ro  0  1
/dev/mapper/cryptoswap                     none    swap   sw,discard         0  0
/dev/mapper/cryptohome                     /home   ext4   discard            0  2
  • Я использую discard вариант в обоих случаях crypttab а также fstab чтобы включить TRIM для SSD, который я использую.
  • Мне пришлось корректировать /etc/initramfs-tools/conf.d/resume от старого UUID свопа к новому /dev/mapper/cryptoswap избавиться от предупреждения в update-initramfs -u -k all,

Это по-прежнему очень похоже на EnableHibernateWithEncryptedSwap, но похоже, что мне не нужно было редактировать /usr/share/initramfs-tools/scripts/local-top/cryptroot, /etc/acpi/hibernate.sh (если у вас есть подсказка, почему это было необходимо, оставьте комментарий - может быть, разница в том, что эта настройка использует uswsusp?).


2
2017-12-26 22:46



+1, так как ваш ответ привел меня на правильный путь, но я либо что-то перепутал, либо потому, что нет mkswap после luksFormat что заставило меня не иметь UUID для cryptoswap (= luksOpened swap-partiton). после дальнейших исследований мне, наконец, удалось заставить спящий режим работать с помощью этот ответ заданный на соответствующий вопрос. - antiplex
@antiplex Да, файловые системы должны были быть созданы с помощью mkswap на /dev/mapper/cryptoposwap  и с mkfs.ext4 (или другой файловой системы) на / dev / mapper / cryptohome` - я не перечислял эти действия явно. Соответственно обновит ответ. - nh2