web-dev-qa-db-ja.com

暗号化と休止状態を入れ替える

暗号化されたホームフォルダーとスワップパーティションを使用して、ラップトップでUbuntu 12.04を実行します。この暗号化されたセットアップを行う前に、以前は休止状態を有効にしていました。私はこれを見つけました documentation 暗号化されたスワップで休止状態を有効にする方法について。

ドキュメントに記載されているソリューションを使用することで気になるのは、ユーザーアカウントにログインするためにパスワードを入力する以外に、スワップパーティションをマウントするためにパスワードを個別に入力する必要があることです。

これに対する可能な解決策は、(ログイン画面をスキップするために)ユーザーアカウントを自動的にログインし、代替ログイン画面としてスワップパーティションのマウントを表示することです(そうですか?)。私はラップトップの唯一のユーザーであることに注意してください。

この方法の唯一の欠点は、3回パスワードを入力した後でも、スワップパーティションをマウントせずにシステムが起動し続けることです。私のデスクトップを誰でも自由に利用できるようにします。

起動時にパスワードを1回入力するだけで休止状態を使用したいので、私の質問は次のことが可能かどうかです。

  1. または、パスワードの試行回数を無限にします
  2. または、3回試行した後、システムを自動的に再起動させます(サイクルをもう一度開始します)

そして、これが可能であれば

  1. 私が考えていないセキュリティ違反を引き起こすかどうか

可能でない場合:ブート時に2つのパスフレーズを入力しなくても、私と他のユーザーが暗号化と組み合わせて休止状態を使用できるようにする別のクリエイティブな選択肢があるかどうか。

助けてくれてありがとう!

12.04installationencryptionhibernatelvm
4
Willem van Gerven

提案:

ディスク上に2つのパーティションを作成できます。

  1. / boot(暗号化されていない)を保持する小さなパーティション
  2. 暗号化の物理ボリュームとして使用される残りのディスク。

次に、2番目のパーティションで暗号化を構成し、LVMを使用して2つのボリュームを作成しました:/ dev/vg0/rootおよび/ dev/vg0/swap

利点:

  1. 個々のパーティションの暗号化について心配する必要はありません。
  2. カーネルを保持する/ bootを除き、他のすべては暗号化されます。これにより、誰かがマシンを再起動し、シングルユーザーモードに入り、OSを変更して暗号化された家からデータを簡単に取得できるようにします。
  3. ブートごとに1回だけ暗号化キーを入力します。
  4. あなたは唯一のユーザーだと言っていましたが、必要に応じて他のユーザー用に別のパスフレーズ(キースロット)を追加できます。

あなたの質問の他の部分に関して:このメソッドがパスワードを繰り返し要求するかどうか覚えていませんし、間違ったパスワードが与えられた後に遅延がある限り、これ自体がセキュリティリスクになるとは思いません(ブルートフォース攻撃を阻止するため)。

方法:

GUIをインストールに使用したことはありません。明らかに、GUIを使用してLUKS暗号化ブロックデバイスの上にLVMを作成することはできません。

私がテストした回避策:

  1. AMD64 または i386 のnetboot ISOイメージをダウンロードし、CDに書き込みます。
  2. 起動したら、メニューから「インストール」を選択します
  3. いくつかの基本的な質問に答え、非ルートユーザーを作成し、ホームディレクトリを暗号化しないことを選択します。これは私たちがここで望むものではありません。
  4. [パーティションディスク]ダイアログが表示されたら、[手動]を選択します。
  5. 必要に応じてディスクに空のパーティションテーブルを作成し、次に2つのプライマリパーティションを作成します。
    • / bootの最初のプライマリパーティションを512MBにします。これは、カーネルとinitrdイメージが存在する場所であり、暗号化されないままです。
    • 残りのスペースをカバーする2番目のプライマリパーティション。そのタイプを「暗号化用の物理ボリューム」として選択します。
    figure 1
  6. Configure encrypted volumesに進み、変更を保存して/dev/sda2を暗号化し、パスワードを選択して終了します。この時点で、暗号化されたボリュームsda2_cryptがあります
  7. physical volume for LVMとして使用することを選択します figure 2
  8. Logical Volume Managerの構成に進みます。 vg0にボリュームグループ/dev/mapper/sda2_cryptを作成します
  9. そのグループ内に2つの論理ボリュームを作成します。
    • スワップ-必要な大きさ(1GBを選択)
    • root-残りのスペースを使用
  10. この段階で、次の構成が表示されます。 figure 3
  11. ルート論理ボリュームのFSを選択し、/としてマウントされるように構成し、スワップLVをスワップスペースとして使用するように構成します。 figure 4
  12. 変更をディスクに書き込み、インストールを続行します。
  13. 後で、インストールするパッケージ(tasksel)を尋ねられ、ubuntu-desktopを安全に使用できます
  14. Grubのインストール先を尋ねられたとき、マシンに他のOSがないため、MBRを選択しました。

それが、私がいつもネットブートイメージを選択する数少ない理由の1つです。開発者がGUIインストーラーに含めるのに十分な方法で完全に機能する機能を移植するまで、私は抑制されたくありません。

7
Marcin Kaminski