GNU/Linux >> Znalost Linux >  >> Ubuntu

Zaměnit šifrování a hibernaci?

Na notebooku mám Ubuntu 12.04 se zašifrovanou domovskou složkou + swapovací oddíl. Než jsem měl toto šifrované nastavení, měl jsem povolenou hibernaci. Našel jsem tuto dokumentaci o tom, jak povolit hibernaci pomocí šifrovaného swapu.

Věc, která mi nyní vadí při použití řešení uvedeného v dokumentaci, je to, že kromě toho, že musím zadat heslo pro přihlášení ke svému uživatelskému účtu, musím zadat heslo samostatně, abych mohl připojit svůj odkládací oddíl.

Možným řešením je (je to tak?) povolit mému uživatelskému účtu automatické přihlášení (takže přeskočit přihlašovací obrazovku) a zobrazit připojení odkládacího oddílu jako alternativní přihlašovací obrazovku. Všimněte si, že jsem jediným uživatelem svého notebooku.

Jedinou nevýhodou této metody je, že po 3 pokusech o zadání hesla systém stejně pokračuje v zavádění, i když bez připojení odkládacího oddílu. Ponechávám svou plochu volně k dispozici komukoli.

Vzhledem k tomu, že bych chtěl použít hibernaci a zároveň musím zadat heslo pouze jednou při spuštění, moje otázka zní, zda je možné:

  1. Nebo nechte počet pokusů o heslo nekonečný
  2. nebo nechte systém, aby se po třech pokusech sám restartoval (zahájení cyklu znovu)

a pokud je to možné

  1. zda by to znamenalo narušení zabezpečení, o kterém jsem nepřemýšlel

a pokud to není možné:Zda by existovala jiná kreativní alternativa, která by mně a dalším uživatelům umožnila používat režim spánku v kombinaci se šifrováním, aniž bychom museli při spouštění zadávat dvě přístupové fráze.

Velice vám děkujeme za jakoukoli pomoc!

Přijatá odpověď:

Návrh:

Na disku můžete vytvořit pouze 2 oddíly.

  1. malý oddíl pro uložení /boot (nešifrovaný)
  2. zbytek disku, který bude použit jako fyzický svazek pro šifrování.

Potom bych nakonfiguroval šifrování na druhém oddílu a pomocí LVM vytvořil 2 svazky:
/dev/vg0/root a
/dev/vg0/swap

Výhody:

  1. Nemusíte si dělat starosti se šifrováním jednotlivých oddílů.
  2. Kromě /boot, který obsahuje vaše jádro, je vše ostatní zašifrováno. Což vás chrání před tím, než někdo restartuje váš počítač, vstoupí do režimu jednoho uživatele a upraví váš operační systém tak, aby mohl stejně snadno získat vaše data z vašeho zašifrovaného domova.
  3. Šifrovací klíč zadáváte pouze jednou při spuštění.
  4. Vím, že jste řekli, že jste jediný uživatel, ale pokud byste museli, mohli byste přidat samostatné přístupové fráze (klíčové sloty) pro ostatní uživatele.

Pokud jde o druhou část vaší otázky:nepamatuji si, zda tato metoda opakovaně požaduje heslo, a nemyslím si, že by to samo o sobě představovalo bezpečnostní riziko, pokud dojde k prodlevě po zadání nesprávného hesla ( k maření útoků hrubou silou).

Jak se to dělá:

Nikdy nepoužívám grafické uživatelské rozhraní k instalaci a zjevně jej nemůžete použít k vytvoření LVM nad blokovým zařízením šifrovaným LUKS.

Související:Je bezpečné odstranit btmp z přihlášení na serveru ubuntu 14.04 rackapace?

Řešení, které jsem testoval:

  1. Stáhněte si obraz ISO pro spouštění ze sítě pro amd64 nebo i386 a vypalte jej na disk CD.
  2. Když z něj spouštíte systém, vyberte z nabídky možnost Instalovat
  3. Odpovězte na několik základních otázek, vytvořte uživatele bez oprávnění root a zvolte NEŠifrovat domovský adresář. Tohle tady nechceme.
  4. Když se dostanete do dialogu „Rozdělit disky“, vyberte možnost „Ručně“.
  5. Pokud potřebujete, vytvořte na disku prázdnou tabulku oddílů a poté 2 primární oddíly.
    • první primární oddíl pro /boot a udělejte z něj 512 MB. Zde budou
      vaše obrazy jádra a initrd umístěny a zůstanou
      nezašifrované.
    • druhý primární oddíl pro pokrytí zbývajícího
      prostoru a vyberte jeho typ jako ‚fyzický svazek pro šifrování‘.

  6. Pokračujte na Configure encrypted volumes , uložte změny a zašifrujte /dev/sda2 , zvolte heslo a dokončete. V tomto okamžiku budete mít zašifrovaný svazek sda2_crypt
  7. Zvolte jej použít jako physical volume for LVM
  8. Pokračujte v konfiguraci Správce logických svazků. Vytvořte skupinu svazků vg0 na /dev/mapper/sda2_crypt
  9. Vytvořte 2 logické svazky v rámci této skupiny.
    • swap – jakkoli velký potřebujete (vybral jsem 1 GB)
    • root – použije zbývající místo
  10. V této fázi byste měli vidět následující konfiguraci:
  11. Vyberte FS pro svůj kořenový logický svazek a nakonfigurujte jej tak, aby byl připojen jako / a swap LV, který má být použit jako swapový prostor:
  12. Zapište změny na disk a pokračujte v instalaci.
  13. Později budete dotázáni, které balíčky nainstalovat (tasksel) a můžete bezpečně přejít na ubuntu-desktop
  14. Když jsem se zeptal, kam nainstalovat Grub, zvolil jsem MBR, protože na svém počítači nemám žádné jiné operační systémy.

A to je opravdu jeden z mála důvodů, proč si vždy vybírám obrazy spouštění ze sítě. Nechci být zdržován, dokud vývojáři neportují funkcionalitu, která funguje perfektně, způsobem, který je dostatečně pěkný na to, aby byl zahrnut do instalačního programu GUI.


Ubuntu

  1. Swapfile a swapspace?

  2. Jak rozšířit odkládací oddíl LVM v Linuxu

  3. Vyměň alt a super

  1. Chyba při vytváření swapového prostoru pomocí Mkswap?

  2. Systém nepřipojuje odkládací oddíl?

  3. Potřebuji zálohovat swapovací oddíl?

  1. Jak spravovat swapovací oddíl v Linuxu

  2. Monitorování a správa paměti

  3. Jak povolit linuxový odkládací oddíl?