交换加密和休眠

交换加密和休眠

我在笔记本电脑上运行 Ubuntu 12.04,带有加密的主文件夹 + 交换分区。在我拥有此加密设置之前,我曾经启用过休眠功能。我发现这个文档关于如何使用加密交换启用休眠模式。

现在,使用文档中给出的解决方案让我感到困扰的是,除了必须输入密码才能登录我的用户帐户之外,我还必须单独输入密码才能挂载我的交换分区。

对此的一个可能的解决方案是(是吗?)启用我的用户帐户自动登录(以便跳过登录屏幕)并将交换分区的安装视为备用登录屏幕。请注意,我是笔记本电脑的唯一用户。

这种方法的唯一缺点是,在输入 3 次密码后,系统仍然会继续启动,尽管没有挂载交换分区。我的桌面可供任何人自由使用。

因为我想使用休眠模式,而只需在启动时输入一次密码,因此我的问题是是否可以:

  1. 或者让密码尝试次数无限次
  2. 或者让系统在三次尝试后自行重新启动(重新开始循环)

如果可能的话

  1. 这是否会造成我没有想到的安全漏洞

如果不可能:是否有另一种创造性的替代方案,允许我和其他用户将休眠与加密结合使用,而不必在启动时输入两个密码。

非常感谢您的帮助!

答案1

建议:

您只需在磁盘上创建 2 个分区即可。

  1. 一个小分区用于保存 /boot(未加密)
  2. 磁盘的其余部分,用作加密的物理卷。

然后,我将在第二个分区上配置加密,并使用 LVM 创建 2 个卷:/dev/vg0/root 和 /dev/vg0/swap

优点:

  1. 您不必担心加密单个分区。
  2. 除了 /boot 保存着你的内核之外,其他一切都是加密的。这样可以防止有人重启你的机器、进入单用户模式和修改你的操作系统,从而让他们能够轻松地从你的加密目录中获取你的数据。
  3. 每次启动时只需输入一次加密密钥。
  4. 我知道您说过您是唯一的用户,但如果需要的话,您可以为其他用户添加单独的密码(密钥槽)。

至于问题的另一部分:我不记得这种方法是否会反复要求输入密码,而且我认为这本身不会带来安全风险,只要在输入错误密码后有延迟(以阻止暴力攻击)。

如何完成:

我从未使用 GUI 进行安装,而且显然您不能使用它在 LUKS 加密块设备上创建 LVM。

我测试过的解决方法:

  1. 下载网络启动 ISO 映像amd64或者i386并将其刻录到 CD 上。
  2. 从它启动时,从菜单中选择“安装”
  3. 回答几个基本问​​题,创建非 root 用户,并选择不加密主目录。这不是我们想要的。
  4. 当您进入“分区磁盘”对话框时,选择“手动”。
  5. 如果需要,请在磁盘上创建一个空的分区表,然后创建 2 个主分区。
    • 第一个主分区为 /boot,大小设为 512MB。这是您的内核和 initrd 映像所在的位置,并且不会加密。
    • 第二个主分区来覆盖剩余空间并选择其类型为“用于加密的物理卷”。
    图1
  6. 继续Configure encrypted volumes,保存更改并加密/dev/sda2,选择密码并完成。此时您将拥有一个加密卷sda2_crypt
  7. 选择将其用作physical volume for LVM 图 2
  8. 继续配置逻辑卷管理器。vg0在上创建卷组/dev/mapper/sda2_crypt
  9. 在该组内创建 2 个逻辑卷。
    • 交换 - 根据需要任意大小(我选择了 1GB)
    • root - 使用剩余空间
  10. 在此阶段,您应该看到以下配置: 图 3
  11. 为您的根逻辑卷选择一个 FS,并将其配置为挂载,/并将交换 LV 配置为交换空间: 图 4
  12. 将更改写入磁盘并继续安装。
  13. 稍后系统会询问您要安装哪些软件包(tasksel),您可以放心使用 ubuntu-desktop
  14. 当被问及将 Grub 安装到哪里时,我选择了 MBR,因为我的机器上没有任何其他操作系统。

这确实是我始终选择网络启动映像的几个原因之一。我不想被耽搁,直到开发人员将运行良好的功能移植到 GUI 安装程序中。

相关内容