我在笔记本电脑上运行 Ubuntu 12.04,带有加密的主文件夹 + 交换分区。在我拥有此加密设置之前,我曾经启用过休眠功能。我发现这个文档关于如何使用加密交换启用休眠模式。
现在,使用文档中给出的解决方案让我感到困扰的是,除了必须输入密码才能登录我的用户帐户之外,我还必须单独输入密码才能挂载我的交换分区。
对此的一个可能的解决方案是(是吗?)启用我的用户帐户自动登录(以便跳过登录屏幕)并将交换分区的安装视为备用登录屏幕。请注意,我是笔记本电脑的唯一用户。
这种方法的唯一缺点是,在输入 3 次密码后,系统仍然会继续启动,尽管没有挂载交换分区。我的桌面可供任何人自由使用。
因为我想使用休眠模式,而只需在启动时输入一次密码,因此我的问题是是否可以:
- 或者让密码尝试次数无限次
- 或者让系统在三次尝试后自行重新启动(重新开始循环)
如果可能的话
- 这是否会造成我没有想到的安全漏洞
如果不可能:是否有另一种创造性的替代方案,允许我和其他用户将休眠与加密结合使用,而不必在启动时输入两个密码。
非常感谢您的帮助!
答案1
建议:
您只需在磁盘上创建 2 个分区即可。
- 一个小分区用于保存 /boot(未加密)
- 磁盘的其余部分,用作加密的物理卷。
然后,我将在第二个分区上配置加密,并使用 LVM 创建 2 个卷:/dev/vg0/root 和 /dev/vg0/swap
优点:
- 您不必担心加密单个分区。
- 除了 /boot 保存着你的内核之外,其他一切都是加密的。这样可以防止有人重启你的机器、进入单用户模式和修改你的操作系统,从而让他们能够轻松地从你的加密目录中获取你的数据。
- 每次启动时只需输入一次加密密钥。
- 我知道您说过您是唯一的用户,但如果需要的话,您可以为其他用户添加单独的密码(密钥槽)。
至于问题的另一部分:我不记得这种方法是否会反复要求输入密码,而且我认为这本身不会带来安全风险,只要在输入错误密码后有延迟(以阻止暴力攻击)。
如何完成:
我从未使用 GUI 进行安装,而且显然您不能使用它在 LUKS 加密块设备上创建 LVM。
我测试过的解决方法:
- 下载网络启动 ISO 映像amd64或者i386并将其刻录到 CD 上。
- 从它启动时,从菜单中选择“安装”
- 回答几个基本问题,创建非 root 用户,并选择不加密主目录。这不是我们想要的。
- 当您进入“分区磁盘”对话框时,选择“手动”。
- 如果需要,请在磁盘上创建一个空的分区表,然后创建 2 个主分区。
- 第一个主分区为 /boot,大小设为 512MB。这是您的内核和 initrd 映像所在的位置,并且不会加密。
- 第二个主分区来覆盖剩余空间并选择其类型为“用于加密的物理卷”。
- 继续
Configure encrypted volumes,保存更改并加密/dev/sda2,选择密码并完成。此时您将拥有一个加密卷sda2_crypt - 选择将其用作
physical volume for LVM
- 继续配置逻辑卷管理器。
vg0在上创建卷组/dev/mapper/sda2_crypt - 在该组内创建 2 个逻辑卷。
- 交换 - 根据需要任意大小(我选择了 1GB)
- root - 使用剩余空间
- 在此阶段,您应该看到以下配置:
- 为您的根逻辑卷选择一个 FS,并将其配置为挂载,
/并将交换 LV 配置为交换空间:
- 将更改写入磁盘并继续安装。
- 稍后系统会询问您要安装哪些软件包(tasksel),您可以放心使用 ubuntu-desktop
- 当被问及将 Grub 安装到哪里时,我选择了 MBR,因为我的机器上没有任何其他操作系统。
这确实是我始终选择网络启动映像的几个原因之一。我不想被耽搁,直到开发人员将运行良好的功能移植到 GUI 安装程序中。