web-dev-qa-db-fra.com

Partition personnelle cryptée + swap crypté + veille prolongée

Je voudrais mettre en place le cryptage de disque sur Ubuntu 13.10 tel que j'ai

  • plaine /
  • partition /home cryptée
  • partition d'échange cryptée
  • hibernation et reprise du travail

Comme ces exigences le suggèrent, cela vise à me protéger contre un voleur potentiel d'ordinateur portable qui lit mes données personnelles. Le fait que / soit non chiffré ne protège pas des personnes qui prennent l'ordinateur portable, installent un enregistreur de frappe et me le rendent.

J'ai lu EnableHibernateWithEncryptedSwap mais c'est écrit pour Ubuntu 12.04, et je ne suis pas sûr que cela fonctionne toujours ou que ce soit la méthode recommandée.

Quelle serait la configuration à jour?

13.10encryptionhibernateswaptrim
4
nh2

J'ai réussi à configurer une maison cryptée et un échange crypté avec une mise en veille prolongée active.

J'utilise uswsusp et largement suivi cet article - fonctionne toujours pour Ubuntu 13.10.

  • Au démarrage, je reçois deux invites de mot de passe (une pour la maison et une pour l'échange) sous le logo Ubuntu.
  • Avec apt-get install uswsusp, Ubuntu a automatiquement passé pm-hibernate à l’utilisation de uswsusp, de sorte que tous les outils d’interface graphique l’utilisent également.
  • Sur le résumé de hibernate, je reçois une invite de mot de passe comme prévu.

Certaines parties de ma configuration:

Création des partitions chiffrées 

# For /home
Sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb2
# For swap
Sudo cryptsetup --cipher aes-xts-plain --key-size 256 --hash sha512 --use-random --verify-passphrase luksFormat /dev/sdb3

  • J'utilise aes-xts-plain parce que c'est le plus rapide de cryptsetup benchmark (ne fonctionne qu'avec cryptsetup> = 1.6). De nombreux guides utilisent aes-cbc-essiv, mais d'après ce que j'ai lu jusqu'à présent, xts protège tout aussi bien contre le filigrane que cbc-essiv. Si vous utilisez des partitions> = 2 To, vous devez utiliser aes-xts-plain64 au lieu de -plain. Plus d'informations sur ces options et choix peuvent être trouvés ici .

  • Après avoir créé ces partitions, vous devez bien sûr créer les systèmes de fichiers correspondants, par exemple, avec mkswap /dev/mapper/cryptoposwap et mkfs.ext4 /dev/mapper/cryptohome.

/etc/crypttab 

cryptohome   /dev/disk/by-uuid/8cef7fd1-cceb-4a4a-9902-cb9a5805643c   none   luks,discard
cryptoswap   /dev/disk/by-uuid/a99c196d-55df-460f-a162-00c4ea6d46e6   none   luks,discard

/etc/fstab 

UUID=a4a2187d-a2d2-4a4c-9746-be511c151296  /       ext4   errors=remount-ro  0  1
/dev/mapper/cryptoswap                     none    swap   sw,discard         0  0
/dev/mapper/cryptohome                     /home   ext4   discard            0  2
  • J'utilise l'option discard dans les deux crypttab et fstab pour activer TRIM pour le SSD que j'utilise.
  • Je devais ajuster /etc/initramfs-tools/conf.d/resume de l'ancien UUID d'échange au nouveau /dev/mapper/cryptoswap pour supprimer un avertissement sur update-initramfs -u -k all.

Ceci est toujours très similaire à EnableHibernateWithEncryptedSwap , mais il semble que je n'ai pas eu à éditer /usr/share/initramfs-tools/scripts/local-top/cryptroot, /etc/acpi/hibernate.sh (si vous avez une idée de la raison de son utilisation, veuillez laisser un commentaire - peut-être que la différence est que cette configuration utilise uswsusp?).

3
nh2