Partição inicial criptografada + troca criptografada + trabalho em hibernação

Navegue suas respostas
2

Eu gostaria de configurar a criptografia de disco no Ubuntu 13.10 de modo que eu tenha

  • simples /
  • criptografada /home partição
  • partição de permuta criptografada
  • trabalhando em hibernação e retomada

Como esses requisitos sugerem, isso é para me proteger de um ladrão em potencial lendo meus dados pessoais. Com / não criptografado, ele não protege de alguém que está usando o laptop, instalando um keylogger e devolvendo-o para mim.

Eu li EnableHibernateWithEncryptedSwap , mas ele está escrito para o Ubuntu 12.04, e não estou confiante de que ele ainda funcione ou que é o caminho recomendado.

O que seria uma configuração atualizada?

    
por nh2 26.12.2013 / 23:46

1 resposta

2

Consegui configurar uma casa criptografada e uma troca criptografada com o modo de hibernação.

Eu uso uswsusp e em grande parte segui este artigo - ainda funciona para Ubuntu 13.10.

  • Na inicialização, recebo dois prompts de senha (um para casa e outro para troca) sob o logotipo do Ubuntu.
  • Com o apt-get install uswsusp , o Ubuntu automaticamente alternou pm-hibernate para usar o uswsusp, então todas as ferramentas GUI também o usam.
  • Ao retomar do hibernate, recebo uma solicitação de senha conforme o esperado.

Algumas partes da minha configuração:

Criando as partições criptografadas 

# For /home
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb2
# For swap
sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb3

  • Eu uso aes-xts-plain porque é o mais rápido em cryptsetup benchmark (só funciona com cryptsetup > = 1.6). Muitos guias usam aes-cbc-essiv , mas pelo que eu li até agora, xts protege contra marca d'água tão bem quanto cbc-essiv . Se você usar partições > = 2TB, use aes-xts-plain64 em vez de -plain . Mais informações sobre essas opções e opções podem ser encontradas aqui .

  • Depois de criar essas partições, é claro que você precisa criar os sistemas de arquivos correspondentes, por exemplo, com mkswap /dev/mapper/cryptoposwap e mkfs.ext4 /dev/mapper/cryptohome .

/ etc / crypttab 

cryptohome   /dev/disk/by-uuid/8cef7fd1-cceb-4a4a-9902-cb9a5805643c   none   luks,discard
cryptoswap   /dev/disk/by-uuid/a99c196d-55df-460f-a162-00c4ea6d46e6   none   luks,discard

/ etc / fstab 

UUID=a4a2187d-a2d2-4a4c-9746-be511c151296  /       ext4   errors=remount-ro  0  1
/dev/mapper/cryptoswap                     none    swap   sw,discard         0  0
/dev/mapper/cryptohome                     /home   ext4   discard            0  2
  • Eu uso a opção discard nos dois crypttab e fstab para ativar o TRIM para o SSD que estou usando.
  • Eu tive que ajustar /etc/initramfs-tools/conf.d/resume do antigo UUID de troca para o novo /dev/mapper/cryptoswap para me livrar de um aviso em update-initramfs -u -k all .

Isso ainda é muito semelhante a EnableHibernateWithEncryptedSwap , mas parece que não precisei editar /usr/share/initramfs-tools/scripts/local-top/cryptroot , /etc/acpi/hibernate.sh (se você tem uma dica do porquê foi necessário, por favor deixe um comentário - talvez a diferença seja que esta configuração usa uswsusp ?).

    
por nh2 26.12.2013 / 23:46
Macbook Pro Retina com o Ubuntu 13.10 tendo problemas para acordar da suspensão Sincronizar arquivos de configuração do raio