我使用图形安装程序安装了启用了全盘加密的 Ubuntu 16.04 LTS。但是,系统在恢复时不会要求输入解密密钥。
关于这个主题的大多数搜索结果似乎至少有 3 年的历史了。有没有现代指南,或者这只是“有用”的东西?
答案1
我认为这是不可能的,因为当你启动时,所有内容都会被解密,而当你挂起系统时,你的文件仍然以解密形式可用,其中许多文件在你的内存中可用。
当您启动系统时,许多工具将参与解密您的完整加密设备(硬盘),GRUB诸如此类initramfs。
然而,当您的系统正在运行时,这意味着您的很多资源都处于繁忙状态,您无法即时加密所有资源;同时,即使可能,您也没有更多工具可用于再次解密您的设备。
从 man 手册中我们可以看到cryptsetup's,有两个子命令:luksResume和luksSuspend,这两个命令和系统挂起无关,它们只是用来挂起一个设备;如果我们细心观察,会发现一个警告:
警告:切勿暂停 cryptsetup 二进制文件所在的设备。
这意味着它无法在运行时加密整个系统,因为正如我已经说过的,它无法再次解密。
luks将保护您免受cold boot攻击,您可以使用 Ubuntu 主页加密来luks保护您的主目录,当您未登录但您的机器正在运行时。
对于luks,您可以使用hibernate功能,因为所有内容都将存储在硬盘上,并且您的内存将被释放。它应该完成这项工作。