我正在尝试通过高级图形安装程序使用 Debian 网络 cd 来安装它。我想使用全盘加密选项,但我正在尝试将其安装在较旧的机器上。我认为它有大约 1GB 的 RAM。我在它上面安装了 Pop!_OS,它运行得足够快,因为我可以指定一个合适的交换文件大小,但是尽我所能,我无法找到一个图形驱动程序,除了 640 屏幕分辨率之外,它还能给我任何东西. (Debian 找到了一个很棒的视频驱动程序,FWIW)。
当我对 LVM 卷上的加密整个磁盘使用指导设置时,它为我提供了一个很小的 1.1 GB 加密交换分区。它安装得很好,并且似乎可以运行,但是当我开始使用软件中心时,很快它就开始在交换文件上进行磨合。
如果我尝试缩小一个大的 LVM 分区,我不能在 gparted 中,因为它告诉我它正在使用中。我尝试过命令行方法,但都失败了;并且非常令人沮丧。如果我在 Debian Live DVD 上启动,首先必须执行sudo apt-get update,这需要一段时间,然后sudo apt-get crypt-setup and lvm2才能安装它们。Debian 文档中没有任何内容告诉我如何操作,但是这个 Ubuntu 页面描述了一种方法:调整加密分区的大小
如果我在这个过程中任何时候暂停很长时间,显示器就会变暗,当我按下一个键时,屏幕会出现我漂亮的桌面,只是在现场 DVD 上磨了大约 5 分钟,最后给我一个漂亮的,彩色壁纸,磨了大概20分钟或更长时间,然后提示我它已被锁定,并要求我输入密码;我从来不知道,但发现它是“活的”。
如果我尝试实际执行命令,我认为它是在e2fsck命令上,或者resize2fs没有工作。我忘记了确切的错误。
我尝试将分区变小,仅使用 160GB 硬盘中的 130GB,然后使用如何扩大加密交换分区?(原文如此),但mkswap命令失败,因为该卷正在使用中。我尝试使用现场 DVD,但在再次锁定屏幕后沮丧地放弃了。
我回去和图形安装程序作斗争,但是一旦我告诉它使用引导式全盘加密,它就坚持给我一个 1.1 GB 的交换分区。当我试图减小主 LVM 分区的大小时,它给了我聪明的“不能对此设备进行修改...”、“正在被 LVM 卷组 XXX 使用”。如果我尝试双击 158 GB ext4 分区,则没有任何东西可以让我减小其大小,以便为合理大小的交换文件腾出空间。如果我尝试进行手动分区设置,并尝试像使用引导式 LVM 加密设置那样创建分区,我无法以相同的方式获得它们。
我认为 …
简洁的问题:是否有可能以某种方式将分区加密绑定到硬件,因此不可能(非常困难)将系统复制到另一台 PC 并在那里运行?
全文:我们开发了一台在设备内运行 Linux 的小型嵌入式 PC。当设备开启时,嵌入式 PC 就开始运行,向用户显示数据,直到断电。
这台 PC 上的软件是我们的商业竞争优势,因此我们希望尽可能阻止对其进行访问(请参阅 PS)。
所以这个想法是加密系统闪存或至少它的一部分。但是,可以只复制整个闪存。然后,下一个想法是将加密绑定到硬件。但是如何?
PS 我知道一切都是逆向工程的主题,但这并不是让产品逆向工程平淡无奇的理由。
PPS 我对抄袭并不偏执。不幸的是,我们知道竞争对手会试图通过名称窃取技术 =)
我目前正在一台新的台式计算机上安装 Debian 发行版,我正在寻找两种制作分区表的方法的优缺点参数(在性能和安全性方面)。我的新电脑有 16GB 的 RAM 和 500GB 的 SSD(这对于规格来说应该足够了)。
首先,我有一个必要条件是加密工作文件。所以,我的第一选择是:
#1 800 MB EFI
#2 300 MB ext4 /boot
#3 ..all.. crypto (sda3_crypt)
LVM Encrypted (sda3_crypt)
#1 10 GB swap
#2 80 GB ext4 /
#3 ...all.. ext4 /home
我们需要对其进行加密swap,以确保在我们碰巧使用它时不会泄露任何加密数据。事实上,这是由 Debian 安装程序强制执行的。
但是,然后,我假设系统本身可能没有加密(即使在我的办公桌上,我也对加密无处不在不太满意......)。毕竟,只有/home有趣。
因此,另一种选择(目前我最喜欢的选择)是让系统不加密(仅/home是)。我想它可能会增加一些安全问题,但我还看不到任何问题,我想这会提高效率。第二种做法应该是这样的:
#1 800 MB EFI
#2 80 GB ext4 /
#3 ..all.. crypto (sda3_crypt)
LVM Encrypted (sda3_crypt)
#1 10 GB swap
#2 ...all.. ext4 /home
那么,我是否错过了安全问题?知道对手模型应该是“邪恶的女仆”,它可能能够物理访问机器并可能在机器仍处于开启状态时窃取它。
如果我考虑第二种方法,我会面临什么样的安全漏洞?
最后,我将确保我已经在 …
我遵循此准则来加密目标分区:
cryptsetup -h sha256 -c aes-xts-plain64 -s 512 luksFormat /dev/nvme0n1p3
然后,即使我之前卸载了主分区,也会出现错误: umount -l /home
使用-l -标志的原因是没有它它就无法工作。此外,为了到目前为止,我必须启动系统直到到达用户登录屏幕,然后按CTRL+ALT+F2进入tty2,通过“登录”和“密码”登录我的用户,然后卸载“/home” - 强力分区。
尽管我之前通过 gparted 检查过它是与 /home 相关的硬盘驱动器上的安装点,但它指出
“设备 /dev/nvme0n1p3 正在使用。无法继续格式化操作。”
尽管之前已经卸载了“/home”。
如何使用 LUKS (cryptsetup) 完成对“/home”分区的加密?由于与 Windows 10 并行安装,我无法加密整个 ubuntu 20.04 安装,我是否可以以相同的方式使用它来加密我的 swap、/temp 和 /var/temp?