Зашифрованный домашний раздел + зашифрованный своп + рабочий спящий режим

Question

Зашифрованный домашний раздел + зашифрованный своп + рабочий спящий режим

Я хотел бы настроить шифрование диска в Ubuntu 13.10 таким образом, чтобы у меня было

гладкий /
зашифрованная /home раздел
зашифрованный раздел подкачки
рабочая спячка и резюме

Как показывают эти требования, это должно защитить меня от потенциального вора ноутбука, читающего мои личные данные. С / будучи незашифрованным, он не защищает от того, что кто-то заберет ноутбук, установит кейлоггер и вернет его мне.

Я прочитал https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap, но он написан для Ubuntu 12.04, и я не уверен, что он все еще работает или что это рекомендуемый способ.

Какая будет современная установка?

5

13.10 encryption swap hibernate trim

Источник

nh2 26 дек '13 в 22:46

1 ответ

Другие вопросы по тегам 13.10 encryption swap hibernate trim

nh2 26 дек '13 в 22:46 2013-12-26 22:46 · Answer 1 · 2013-12-26 22:46

Мне удалось настроить зашифрованный дом и зашифрованный своп с работающим спящим режимом.

я использую uswsusp и во многом следовал этой статье - до сих пор работает на Ubuntu 13.10.

При загрузке я получаю два запроса пароля (один для дома и один для подкачки) под логотипом Ubuntu.
С apt-get install uswsusp, Ubuntu автоматически переключается pm-hibernate использовать uswsusp, так что все инструменты GUI используют его также.
При выходе из спящего режима я получаю один пароль, как и ожидалось.

Некоторые части моей настройки:

Создание зашифрованных разделов

# For /home
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb2
# For swap
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb3

я использую aes-xts-plain потому что это самый быстрый в cryptsetup benchmark (работает только с cryptsetup >= 1.6). Много руководств использует aes-cbc-essiv, но из того, что я прочитал до сих пор, xts защищает от водяных знаков так же, как cbc-essiv, Если вы используете разделы>= 2 ТБ, вы должны использовать aes-xts-plain64 вместо -plain, Более подробную информацию об этих опциях и вариантах можно найти здесь.
После создания этих разделов вы, конечно, должны создать соответствующие файловые системы на них, например, с mkswap /dev/mapper/cryptoposwap а также mkfs.ext4 /dev/mapper/cryptohome,

/ и т.д. / crypttab

cryptohome   /dev/disk/by-uuid/8cef7fd1-cceb-4a4a-9902-cb9a5805643c   none   luks,discard
cryptoswap   /dev/disk/by-uuid/a99c196d-55df-460f-a162-00c4ea6d46e6   none   luks,discard

/ и т.д. / Fstab

UUID=a4a2187d-a2d2-4a4c-9746-be511c151296  /       ext4   errors=remount-ro  0  1
/dev/mapper/cryptoswap                     none    swap   sw,discard         0  0
/dev/mapper/cryptohome                     /home   ext4   discard            0  2

Я использую discard вариант в обоих crypttab а также fstab чтобы включить TRIM для SSD, который я использую.
Я должен был настроить /etc/initramfs-tools/conf.d/resume от старого UUID подкачки к новому /dev/mapper/cryptoswap избавиться от предупреждения в update-initramfs -u -k all,

Это все еще очень похоже на https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap, но, похоже, мне не нужно было редактировать /usr/share/initramfs-tools/scripts/local-top/cryptroot, /etc/acpi/hibernate.sh (если у вас есть подсказка, зачем это нужно, оставьте комментарий - возможно, разница в том, что эта настройка использует uswsusp?).