Como montar com segurança a partição LUKS no login?

Navegue suas respostas
4

Eu quero acessar uma partição de dados criptografados do LUKS após o login, idealmente sem digitar uma senha, obviamente de forma segura.

Meu diretório pessoal também é criptografado com o LUKS.

Eu encontrei este tutorial: link .

Sinto-me completamente inseguro para mim, pois qualquer um que inicializar um live cd pode acessar o diretório root , assim, a chave, portanto, descriptografa os dados da outra partição.

Aqui está o que eu fiz até agora,

Crie uma nova chave:

sudo dd if=/dev/urandom of=$HOME/.data_crypt_keyfile bs=1024 count=4

Torne-o somente leitura para o root:

sudo chmod 0400 $HOME/.data_crypt_keyfile

Adicione esta nova chave aos slots de chaves do LUKS:

sudo cryptsetup luksAddKey /dev/sdc1 $HOME/.data_crypt_keyfile

Como faço para abrir automaticamente essa partição após o login e fechá-la quando fizer o logout?

    
por Victor Lamoine 01.08.2016 / 14:22

2 respostas

2

Se a sua pasta home em si é criptografada pelo LUKS, não deve haver como a chave ser lida sem a pasta base sendo descriptografada (o que só acontece quando você está logado).

Contanto que o arquivo de chaves seja realmente lido em seu diretório de usuários ( /home/<whatever> ) e não em /root , você deve estar bem.

Quanto à montagem automática no login, você pode usar um script simples em sua lista de aplicativos de inicialização (executar após o login ser bem-sucedido, para que funcione contanto que você esteja montando essa unidade no userspace). Para o logout, você pode configurá-lo para desmontar quando você matar sua sessão X .

Em suma, você faria o seguinte:

  1. Crie um script pequeno que desmontará a unidade criptografada de onde ela estiver montada
  2. Adicione isso a session-cleanup-script em /etc/lightdm/lightdm.conf . Isso será executado sempre que qualquer sessão for eliminada, portanto, essa pode não ser a melhor opção.

Advertências

  • Como mencionado anteriormente, o script de auto-logout é executado quando qualquer sessão X é encerrada, portanto é provável que sua unidade possa ser acidentalmente desmontada quando outro usuário fizer logoff de sua sessão simultânea. No entanto, isso não será um problema se você for um único usuário que mantém apenas uma única sessão X em execução.
  • Da mesma forma, você PRECISA manter uma sessão X aberta, mesmo em um TTY, a menos que queira montar / desmontar manualmente o dispositivo.
por Kaz Wolfe 30.08.2016 / 08:26
0

Você pode usar "pam_mount".

Você precisará da mesma senha para seu usuário e partição. E também não irá desmontar a partição após o logout.

Aqui está a explicação que me ajudou a conseguir o que eu precisava para minha configuração.

    
por Nick 31.12.2016 / 19:17

Tags

Link de download seguro (HTTPS) para o desktop Ubuntu UBUNTU 16.04 - Pedindo senha ao se conectar à rede do Windows