Troque a criptografia e hibernando

Navegue suas respostas
4

Eu corro o Ubuntu 12.04 no meu laptop, com uma pasta home criptografada + partição swap. Antes de ter essa configuração criptografada, minha hibernação estava habilitada. Eu encontrei esta documentação sobre como habilitar a hibernação com uma troca criptografada.

Agora, o que me incomoda usando a solução fornecida na documentação é que, além de ter que digitar minha senha para acessar minha conta de usuário, tenho que digitar uma senha separadamente para montar minha partição de swap.

Uma possível solução para isso é (é?) permitir que minha conta de usuário faça login automaticamente (para ignorar a tela de login) e visualizar a montagem da partição de swap como uma tela de login alternativa. Note que eu sou o único usuário do meu laptop.

A única desvantagem deste método é que, após 3 tentativas de senha, o sistema continua a iniciar, embora sem montar a partição swap. Deixando minha área de trabalho livremente disponível para qualquer pessoa.

Como eu gostaria de usar a hibernação, tendo apenas que digitar minha senha uma vez na inicialização, minha pergunta é se é possível:

  1. Ou faça a contagem de tentativas de senha infinita
  2. ou alternativamente deixe o sistema reinicializar após três tentativas (iniciando o ciclo novamente)

e se isso for possível

  1. se isso representaria uma violação de segurança não pensada por mim

e, se não for possível: se haveria outra alternativa criativa que permita que eu e outros usuários usem a hibernação em combinação com a criptografia sem precisar digitar duas frases secretas na inicialização.

Muito obrigado por qualquer ajuda!

    
por Willem van Gerven 16.10.2012 / 16:18

1 resposta

6

A sugestão:

Você pode criar apenas 2 partições no seu disco.

  1. uma pequena partição para manter / inicializar (não criptografada)
  2. o restante do disco, para ser usado como um volume físico para criptografia.

Eu configuraria a criptografia na segunda partição e usaria o LVM para criar 2 volumes: / dev / vg0 / root e / dev / vg0 / swap

Vantagens:

  1. Você não precisa se preocupar com a criptografia de partições individuais.
  2. Além de / boot, que contém seu kernel, todo o resto é criptografado. O que protege você de alguém que está reinicializando sua máquina, inserindo um modo de usuário único e modificando seu sistema operacional para permitir que ele obtenha facilmente seus dados de sua casa criptografada de qualquer maneira.
  3. Você só insere a chave de criptografia uma vez por inicialização.
  4. Sei que você disse que é o único usuário, mas pode adicionar senhas separadas (slots de teclas) para outros usuários, se necessário.

Quanto à outra parte da sua pergunta: não me lembro se este método pede repetidamente a senha e não acho que isso por si só seria um risco de segurança, desde que haja um atraso após uma senha incorreta é dado (para impedir ataques de força bruta).

Como se faz:

Eu nunca uso a GUI para instalação e aparentemente você não pode usá-la para criar um LVM sobre o dispositivo de bloqueio criptografado pelo LUKS.

A solução que testei:

  1. Faça o download da imagem ISO do netboot para amd64 ou i386 e gravá-lo em um CD.
  2. Quando você inicializa a partir dele, escolha 'Instalar' no menu
  3. Responda a algumas perguntas básicas, crie um usuário não raiz e escolha NÃO para criptografar o diretório pessoal. Isto não é o que queremos aqui.
  4. Quando você chegar ao diálogo 'Partition disks', escolha 'Manual'.
  5. Crie uma tabela de partições vazia no disco, se precisar, e depois duas partições primárias.
    • primeira partição primária para / boot e torná-lo 512MB. É onde suas imagens de kernel e initrd residirão e permanecerão sem criptografia.
    • segunda partição primária para cobrir o restante espaço e escolha seu tipo como 'volume físico para criptografia'.
  6. Prossiga para Configure encrypted volumes , salve as alterações e criptografe /dev/sda2 , escolha uma senha e termine. Neste ponto, você terá um volume criptografado sda2_crypt
  7. Opte por usá-lo como physical volume for LVM
  8. Prossiga para configurar o Logical Volume Manager. Crie um grupo de volumes vg0 on /dev/mapper/sda2_crypt
  9. Crie 2 volumes lógicos dentro desse grupo.
    • swap - por mais grande que você precise (eu escolhi 1GB)
    • root - use o espaço restante
  10. Nesta fase, você deve ver a seguinte configuração:
  11. Escolha um FS para seu volume lógico raiz e configure-o para ser montado como / e o swap LV para ser usado como espaço de troca:
  12. Grave as alterações no disco e continue com a instalação.
  13. Mais tarde, você será perguntado quais pacotes instalar (tasksel) e você pode ir com segurança com o ubuntu-desktop
  14. Quando perguntado para onde instalar o Grub, eu escolhi o MBR, já que não tenho nenhum outro SO na minha máquina.

E esse é realmente um dos poucos motivos pelos quais eu sempre escolho as imagens da netboot. Eu não quero ser retido até que os desenvolvedores carreguem a funcionalidade que funciona perfeitamente de uma maneira que seja bonita o suficiente para ser incluída no instalador da GUI.

    
por Marcin Kaminski 16.10.2012 / 22:39

Tags

Nenhum resgate grub de partição O que pode fazer com que meu arquivo .profile não seja carregado quando um novo shell de terminal é inicializado?