Ubuntu 13.10でディスク暗号化をセットアップして、
/
/home
パーティションこれらの要件が示唆するように、これは私の個人データを読む潜在的なラップトップ泥棒から私を保護するためです。 /
が暗号化されていないため、ラップトップを持ち、キーロガーをインストールして、それを私に返すことから保護されません。
EnableHibernateWithEncryptedSwap を読んだことがありますが、Ubuntu 12.04向けに書かれており、まだ機能するか、推奨される方法であるかは確信できません。
最新のセットアップとは何ですか?
作業休止状態で暗号化されたホームと暗号化されたスワップをセットアップすることができました。
私はuswsusp
を使用し、主に この記事 に従いました-Ubuntu 13.10でも引き続き動作します。
apt-get install uswsusp
を使用すると、Ubuntuはpm-hibernate
を自動的に切り替えてuswsuspを使用するため、すべてのGUIツールでも使用されます。私のセットアップのいくつかの部分:
暗号化されたパーティションの作成
# For /home
Sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb2
# For swap
Sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb3
aes-xts-plain
で最も速いため、cryptsetup benchmark
を使用します(1.6以上のcryptsetupでのみ動作します)。多くのガイドはaes-cbc-essiv
を使用していますが、これまで読んだことから、xts
はcbc-essiv
と同様に透かし入れからも保護しています。 2TB以上のパーティションを使用する場合は、aes-xts-plain64
の代わりに-plain
を使用する必要があります。これらのオプションと選択肢の詳細については、 こちら をご覧ください。
これらのパーティションを作成したら、もちろんそれらに対応するファイルシステムを作成する必要があります。 mkswap /dev/mapper/cryptoposwap
およびmkfs.ext4 /dev/mapper/cryptohome
で。
/ etc/crypttab
cryptohome /dev/disk/by-uuid/8cef7fd1-cceb-4a4a-9902-cb9a5805643c none luks,discard
cryptoswap /dev/disk/by-uuid/a99c196d-55df-460f-a162-00c4ea6d46e6 none luks,discard
/ etc/fstab
UUID=a4a2187d-a2d2-4a4c-9746-be511c151296 / ext4 errors=remount-ro 0 1
/dev/mapper/cryptoswap none swap sw,discard 0 0
/dev/mapper/cryptohome /home ext4 discard 0 2
discard
とcrypttab
の両方でfstab
オプションを使用して、使用しているSSDのTRIMを有効にします。/etc/initramfs-tools/conf.d/resume
の警告を取り除くには、/dev/mapper/cryptoswap
を古いスワップUUIDから新しいupdate-initramfs -u -k all
に調整する必要がありました。これはまだ EnableHibernateWithEncryptedSwap と非常に似ていますが、/usr/share/initramfs-tools/scripts/local-top/cryptroot
、/etc/acpi/hibernate.sh
を編集する必要はないようです(必要な理由があれば、そのままにしてください)コメント-おそらく違いは、このセットアップではuswsusp
?を使用していることです。