我将创建一个可启动的 Ubuntu USB 闪存盘,我想知道是否可以使用以下方法加密此 USB 闪存盘卢克斯,因此当我启动它运行 Linux 时,在输入我的用户密码之前,它会要求输入解密整个闪存盘的密码
- 启动 USB
- 解密密码
- 用户密码
- 登录。
请注意必须居住每次启动操作系统时都会加载到内存中,我不想安装在外部 USB 驱动器上。提前致谢!
ps 如果不可能的话,我可以让 ./boot 保持未加密状态,并使用所有系统目录加密文件系统
答案1
这是不可能的,因为如果启动卷被加密,BIOS/UEFI 将无法执行启动扇区/启动应用程序。
不过,您可以使用 Ubuntu Live Installer 将 Ubuntu 安装到另一个 USB 上作为系统磁盘,并使用 LUKS 加密。缺点是您将无法休眠,因为 Ubiquity 当前创建的交换分区太小,并且每次启动时都会随机化加密密钥,这会破坏交换分区的状态。
在第二种情况下,您的启动分区未加密,因此它仍可能被篡改,也就是说,键盘记录器可能会被写入其中。您可以通过对启动卷进行签名并使用安全启动来解决这个问题,但随后您必须说服 Microsoft 对您的启动卷进行签名或向您提供签名密钥。祝您好运。
如果你真的担心键盘记录器,那么就随身携带自己的电脑,不要使用无线键盘/鼠标,启用安全启动,启动不保存任何状态的 LiveCD 映像,使用 VPN 通过 SSL 将 VNC/RDP 客户端连接到你实际保存状态的机器,使用一个强大、容易记住的密码,并且永远不要在任何地方记录(参见https://xkcd.com/936/以了解这是什么意思。
这将保护您免受物理访问、远程访问以及暴力破解。但这很不方便,因为您无法始终访问网络,必须始终随身携带硬件,而且由于您仅将其用作瘦客户端,因此无法从携带的硬件中获得良好的价值,而忽略了其额外的内存/处理/存储功能。
即使所有这些都无法保护您在打字时免受锁定在您键盘上的闭路电视摄像机的监控,因此您还需要注意周围环境。
它还可能会使你的移动数据费用增加很多。
因此,除非你真的是一个非常庞大、诱人的目标,可能会被那些愿意投入资源来攻击你的人瞄准,否则我认为你最好避免使用公共互联网终端,携带自己的廉价设备,用 LUKS 保护它,使用 VPN 或至少 TORBrowser 来保证你的浏览不会被监视。那么你最大的担心应该是你是否会把你的设备放在某个地方并被盗,而不必担心他们是否可以访问你的数据。