通常我不会再关闭我的笔记本,而是使用挂起到 RAM。缺点是,我的加密主分区在恢复后完全可以访问,而无需输入密码。如果有人偷了你的笔记本,那就不好了……
看着cryptsetup 的手册页.我了解到卢克斯现在支持luksSuspend
和luksResume
命令。luksSuspend
和luksResume
是否已集成到执行挂起到 RAM 和恢复的脚本中?
答案1
当前问题
使用 Ubuntu 全盘加密(基于 dm-crypt 和 LUKS)设置全系统加密时,加密密钥在挂起系统时会保留在内存中。如果您经常随身携带挂起的笔记本电脑,则此缺点会破坏加密的目的。可以使用 cryptsetup luksSuspend 命令冻结所有 I/O 并从内存中清除密钥。
解决方案
ubuntu-luks-暂停 是改变默认暂停机制的尝试。基本思想是更改为加密根文件系统之外的 chroot,然后锁定它(使用cryptsetup luksSuspend)
答案2
这是另一个例子的ubuntu 14.04 cryptsetup luks 暂停/恢复根分区“几乎可以工作” :-)
它起作用的一个原因拱并且“几乎有效”Ubuntu可能是 ubuntu 内核
Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
仍然“太旧”:以下补丁尚未出现:
因此任何pm-utils
或user code
发行任何形式的
清除按键和睡眠请求, 例如:
cryptsetup luksSuspend root
echo -n "mem" >/sys/power/state
将导致内核调用,sys_sync()
进而导致死锁dm-crypt
(根据设计,在 luks 暂停之后)
答案3
实际上,您只需要确保在从暂停状态恢复时需要屏幕保护程序密码,这样您就安全了。
这将确保从挂起状态恢复您的笔记本电脑的人必须输入密码才能进入计算机。