挂起到RAM和加密分区
通常我不再关闭我的笔记本,而是使用suspend-to-RAM。 缺点是我的加密主分区在恢复后完全可以访问,而无需输入密码。 如果某人偷了你的笔记本,这是一个坏主意……
查看cryptsetup的联机帮助页 。 我已经知道LUKS现在支持luksSuspend
和luksResume
命令。 是否将luksSuspend
和luksResume
集成在脚本中,暂停到RAM并恢复?
目前的问题
使用Ubuntu全盘加密(基于带有LUKS的dm-crypt)设置完整系统加密时,加密密钥在挂起系统时保留在内存中。 如果您经常携带悬挂的笔记本电脑,这个缺点就会破坏加密的目的。 可以使用cryptsetup luksSuspend命令冻结所有I / O并从内存中刷新密钥。
解
ubuntu-luks-suspend是尝试更改默认挂起机制。 基本思路是更改为加密根fs之外的chroot然后将其锁定 (withcryptsetup luksSuspend)
这里是ubuntu 14.04 cryptsetup的 另一个例子 luks suspend / resume root partition “几乎可以工作”:-)
它适用于arch的一个原因和ubuntu的 “几乎工作”可能是ubuntu内核的原因
Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
还是“太老了”:还没有以下补丁:
在suspend-to-RAM上make sync()是可选的
所以发出任何forms的明确键和睡眠请求的 pm-utils
或user code
,例如:
cryptsetup luksSuspend root echo -n "mem" >/sys/power/state
将导致内核调用sys_sync()
,这反过来导致dm-crypt
死锁(按设计,在luks挂起后)
实际上,您只需要确保在暂停恢复时需要屏幕保护密码,这样您就会安全。
这将确保从暂停中恢复您的笔记本电脑的人必须输入密码才能进入计算机。
- 使旧的加密/主分区(10.10)可用于新安装(12.04)
- “sudo ecryptfs-recover-private”给出“find:’/ run / user / 1000 / gvfs’:Permission denied” – 文件丢失了?
- 更改密码后如何重新获得对加密主目录的访问权限?
- 用ecryptfs加密额外的分区?
- “sudo ecryptfs-recover-private”在botched(?)升级后给出“find:’/ run / user / 1000 / gvfs’:Permission denied”
- ecryptfs如何影响硬盘性能?
- 实际使用ecryptfs,加密密钥和TPM:如何将现有用户密钥转换为加密密钥?
- ecryptfs-setup-swap是否持久存在?
- 重新安装后恢复加密的主文件夹