我正在寻找一种加密我的笔记本电脑(包括交换分区)的方法。我也阅读了较旧的类似问题,但大多数答案仅包括一个什么不太多如何。 (目前我正在开发 128GB SSD 和 Debian Jessie)
我的目标是拥有
- 最先进的加密技术
- 完全加密的磁盘(包括交换)
- 启动时使用单一密码进行解密
- 休眠/挂起时自动加密
最好还有第二个密码来引导到第二个有效的操作系统,以实现合理的否认。
答案1
如果您选择全盘加密,这些问题都可以由默认安装程序解决:
- 最先进的加密技术
- 完全加密的磁盘(包括交换)
- 启动时使用单一密码进行解密
- 休眠/挂起时自动加密
有两个分区: /boot/(sda1) 未加密,sda2 将加密,创建的设备将形成一个 LVM 组,然后该 LVM 组将被拆分为/、/home/和交换分区。此交换分区也将用于休眠。仅使用单个加密分区使得在启动或恢复时只需要一个密码变得微不足道。
不幸的是我在 Debian wiki 上找不到任何这方面的文档,但是 Archlinux 有本文。
用于启动到第二个有效操作系统的第二个密码,以实现合理的否认。
我不知道 Linux 对此有什么解决方案。并且没有任何真正的解决方案可以使否认看起来真正合理(从某种意义上说,“假”系统应该看起来像是经常使用的);但那部分宁愿属于安全.stackexchange, 恕我直言。
答案2
仅部分答案,但评论太长:
最先进的加密:
LUKS具有相当长的key-size全盘加密:
dm-crypt有LUKS登录时使用单一密码:如果可以不
/boot加密使用crypttab,则自动登录虚拟控制台并在启动时启动 X。我从未尝试过交换加密、休眠或合理的否认。
你的一个问题问得太多了。我建议您继续尝试一些在线教程,然后回来询问更具体的问题。例如,首先加密您的主分区,然后交换,然后启动密码。
Always back up your data!