交换加密和休眠
Wil*_*ven 4 installation encryption lvm hibernate 12.04
我在笔记本电脑上运行 Ubuntu 12.04,带有加密的主文件夹 + 交换分区。在我进行这种加密设置之前,我曾经启用了休眠功能。我找到了有关如何通过加密交换启用休眠的文档。
现在,使用文档中给出的解决方案困扰我的事情是,除了必须输入密码才能登录到我的用户帐户之外,我还必须单独输入密码来安装我的交换分区。
一个可能的解决方案是(是吗?)让我的用户帐户自动登录(以便跳过登录屏幕)并查看交换分区的安装作为替代登录屏幕。请注意,我是笔记本电脑的唯一用户。
这种方法的唯一缺点是,在尝试 3 次密码后,系统仍然会继续引导,尽管没有安装交换分区。让任何人都可以免费使用我的桌面。
由于我想在启动时只输入一次密码的同时使用休眠,因此我的问题是是否可以:
- 或者让密码尝试次数无限
- 或者让系统在尝试三次后自行重启(重新开始循环)
如果这是可能的
- 是否会造成我没有想到的安全漏洞
如果不可能:是否会有另一种创造性的替代方案,允许我和其他用户将休眠与加密结合使用,而无需在启动时输入两个密码短语。
非常感谢您的帮助!
建议:
您可以在磁盘上创建 2 个分区。
- 一个小分区来保存 /boot(未加密)
- 磁盘的其余部分,用作加密的物理卷。
然后我会在第二个分区上配置加密并使用 LVM 创建 2 个卷:/dev/vg0/root 和 /dev/vg0/swap
好处:
- 您不必担心加密单个分区。
- 除了保存内核的 /boot 之外,其他所有内容都是加密的。这可以保护您免受他人重新启动您的机器、进入单用户模式和修改您的操作系统的影响,以便他们无论如何都可以轻松地从您的加密家庭中获取您的数据。
- 每次启动您只需输入一次加密密钥。
- 我知道你说过你是唯一的用户,但如果必须的话,你可以为其他用户添加单独的密码(密钥槽)。
至于你问题的另一部分:我不记得这种方法是否反复要求输入密码,而且我认为这本身不会有安全风险,只要在给出错误密码后有延迟(以阻止暴力攻击)。
它是如何完成的:
我从不使用 GUI 进行安装,显然您不能使用它在 LUKS 加密块设备之上创建 LVM。
我测试过的解决方法:
- 下载amd64或i386 的网络引导ISO 映像并将其刻录到 CD 上。
- 从它启动时,从菜单中选择“安装”
- 回答几个基本问题,创建一个非 root 用户,然后选择不加密主目录。这不是我们想要的。
- 当您进入“分区磁盘”对话框时,选择“手动”。
- 如果需要,在磁盘上创建一个空分区表,然后创建 2 个主分区。
- /boot 的第一个主分区并使其为 512MB。这是您的内核和 initrd 映像所在的位置,并且将保持未加密状态。
- 第二个主分区来覆盖剩余空间,并将其类型选择为“用于加密的物理卷”。
- 继续
Configure encrypted volumes,保存更改并加密/dev/sda2,选择密码并完成。此时您将拥有一个加密卷sda2_crypt - 选择将其用作
physical volume for LVM
- 继续配置逻辑卷管理器。创建一个卷组
vg0上/dev/mapper/sda2_crypt - 在该组内创建 2 个逻辑卷。
- 交换 - 无论您需要多大(我选择了 1GB)
- root - 使用剩余空间
- 在此阶段,您应该看到以下配置:
- 为您的根逻辑卷选择一个 FS,并将其配置为挂载为
/,并将交换 LV 配置为用作交换空间:
- 将更改写入磁盘并继续安装。
- 稍后你会被问到要安装哪些包(tasksel),你可以安全地使用 ubuntu-desktop
- 当被问及 Grub 的安装位置时,我选择了 MBR,因为我的机器上没有任何其他操作系统。
这确实是我总是选择网络引导映像的少数原因之一。在开发人员以一种足以包含在 GUI 安装程序中的方式移植运行良好的功能之前,我不想被阻止。
| 归档时间: |
|
| 查看次数: |
3986 次 |
| 最近记录: |