交换加密和hibernate
我在笔记本电脑上运行Ubuntu 12.04,带有加密的主文件夹+交换分区。 在我进行此加密设置之前,我曾经启用了hibernatefunction。 我找到了有关如何使用加密交换启用hibernate的文档 。
现在,通过使用文档中给出的解决方案困扰我的是,除了必须输入我的密码登录到我的用户帐户之外,我必须单独键入一个密码来安装我的交换分区。
一个可能的解决方案是(是吗?)使我的用户帐户能够自动登录(以便跳过登录屏幕)并查看交换分区的安装作为替代登录屏幕。 请注意,我是笔记本电脑的唯一用户。
这种方法的唯一缺点是,在3次密码尝试后,系统仍然继续启动,但没有安装交换分区。 让我的桌面免费提供给任何人。
因为我想在启动时只需要输入一次密码就可以使用hibernate,因此我的问题是:是否可以:
- 或者使密码尝试计数无限
- 或者让系统在三次尝试后重启(重新开始循环)
如果可以的话
- 是否会构成我未想到的安全漏洞
如果不可能:是否会有另一个创造性的选择,允许我和其他用户结合加密使用hibernate,而无需在启动时键入两个密码短语。
非常感谢您的帮助!
建议:
您可以在磁盘上创建2个分区。
- 一个小分区来保持/启动(未加密)
- 磁盘的其余部分,用作加密的物理卷。
然后我在第二个分区上配置加密并使用LVM创建2个卷:/ dev / vg0 / root和/ dev / vg0 / swap
好处:
- 您不必担心加密各个分区。
- 除了保存内核的/ boot之外,其他所有内容都是加密的。 这可以保护您免受重启机器,进入单一用户模式和修改操作系统的影响,无论如何都可以轻松地从加密的家中获取数据。
- 每次启动时只输入一次加密密钥。
- 我知道你说你是唯一的用户,但如果你不得不为其他用户添加单独的密码短语(密钥插槽)。
至于你问题的另一部分:我不记得这种方法是否反复询问密码,我不认为这本身就存在安全风险,只要在给出错误密码后出现延迟(挫败蛮力攻击)。
它是如何完成的:
我从不使用GUI进行安装,显然你不能用它在LUKS加密的块设备之上创建LVM。
我测试过的解决方法:
- 下载amd64或i386的netboot ISO映像并将其刻录到CD上。
- 从中启动时,从菜单中选择“安装”
- 回答几个基本问题,创建一个非root用户,然后选择NOT加密主目录。 这不是我们想要的。
- 进入“分区磁盘”对话框后,选择“手动”。
- 如果需要,则在磁盘上创建一个空分区表,然后创建2个主分区。
- / boot的第一个主分区,使其为512MB。 这是您的内核和initrd映像将驻留的位置,并且将保持未加密状态。
- 第二个主分区,用于覆盖剩余空间,并选择其类型为“加密物理卷”。
- 继续
Configure encrypted volumes,保存更改并加密/dev/sda2,选择密码并完成。 此时,您将拥有一个加密卷sda2_crypt - 选择将其用作
physical volume for LVM的physical volume for LVM
- 继续配置逻辑卷管理器。 在
/dev/mapper/sda2_crypt上创建卷组vg0 - 在该组中创建2个逻辑卷。
- 交换 – 无论你需要多大(我选择1GB)
- root – 使用剩余空间
- 在此阶段,您应该看到以下配置:
- 为根逻辑卷选择一个FS,并将其配置为
/和交换LV作为交换空间挂载:
- 将更改写入磁盘并继续安装。
- 稍后您将被问到要安装哪些软件包(tasksel),您可以安全地使用ubuntu-desktop
- 当被问到在哪里安装Grub时,我选择了MBR,因为我的机器上没有任何其他操作系统。
这实际上是我总是选择netboot图像的几个原因之一。 我不希望被阻止,直到开发人员以一种非常适合包含在GUI安装程序中的方式移植完美的function。