web-dev-qa-db-ja.com

暗号化されたホームパーティション+暗号化されたスワップ+作業休止状態

Ubuntu 13.10でディスク暗号化をセットアップして、

  • プレーン/
  • 暗号化された/homeパーティション
  • 暗号化されたスワップパーティション
  • 休止状態と再開

これらの要件が示唆するように、これは私の個人データを読む潜在的なラップトップ泥棒から私を保護するためです。 /が暗号化されていないため、ラップトップを持ち、キーロガーをインストールして、それを私に返すことから保護されません。

EnableHibernateWithEncryptedSwap を読んだことがありますが、Ubuntu 12.04向けに書かれており、まだ機能するか、推奨される方法であるかは確信できません。

最新のセットアップとは何ですか?

4
nh2

作業休止状態で暗号化されたホームと暗号化されたスワップをセットアップすることができました。

私はuswsuspを使用し、主に この記事 に従いました-Ubuntu 13.10でも引き続き動作します。

  • 起動時に、Ubuntuロゴの下に2つのパスワードプロンプト(ホーム用とスワップ用)が表示されます。
  • apt-get install uswsuspを使用すると、Ubuntuはpm-hibernateを自動的に切り替えてuswsuspを使用するため、すべてのGUIツールでも使用されます。
  • 休止状態から再開すると、期待どおりに1つのパスワードプロンプトが表示されます。

私のセットアップのいくつかの部分:

暗号化されたパーティションの作成

# For /home
Sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb2
# For swap
Sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb3
  • aes-xts-plainで最も速いため、cryptsetup benchmarkを使用します(1.6以上のcryptsetupでのみ動作します)。多くのガイドはaes-cbc-essivを使用していますが、これまで読んだことから、xtscbc-essivと同様に透かし入れからも保護しています。 2TB以上のパーティションを使用する場合は、aes-xts-plain64の代わりに-plainを使用する必要があります。これらのオプションと選択肢の詳細については、 こちら をご覧ください。

  • これらのパーティションを作成したら、もちろんそれらに対応するファイルシステムを作成する必要があります。 mkswap /dev/mapper/cryptoposwapおよびmkfs.ext4 /dev/mapper/cryptohomeで。

/ etc/crypttab

cryptohome   /dev/disk/by-uuid/8cef7fd1-cceb-4a4a-9902-cb9a5805643c   none   luks,discard
cryptoswap   /dev/disk/by-uuid/a99c196d-55df-460f-a162-00c4ea6d46e6   none   luks,discard

/ etc/fstab

UUID=a4a2187d-a2d2-4a4c-9746-be511c151296  /       ext4   errors=remount-ro  0  1
/dev/mapper/cryptoswap                     none    swap   sw,discard         0  0
/dev/mapper/cryptohome                     /home   ext4   discard            0  2
  • discardcrypttabの両方でfstabオプションを使用して、使用しているSSDのTRIMを有効にします。
  • /etc/initramfs-tools/conf.d/resumeの警告を取り除くには、/dev/mapper/cryptoswapを古いスワップUUIDから新しいupdate-initramfs -u -k allに調整する必要がありました。

これはまだ EnableHibernateWithEncryptedSwap と非常に似ていますが、/usr/share/initramfs-tools/scripts/local-top/cryptroot/etc/acpi/hibernate.shを編集する必要はないようです(必要な理由があれば、そのままにしてください)コメント-おそらく違いは、このセットアップではuswsusp?を使用していることです。

3
nh2