Biasanya saya tidak mematikan notebook saya lagi karena menggunakan suspend-to-RAM. Kelemahannya adalah partisi rumah terenkripsi saya sepenuhnya dapat diakses setelah melanjutkan tanpa memasukkan frasa sandi. Gagasan buruk jika seseorang mencuri buku catatan Anda ...
Melihat halaman cryptsetup . Saya telah belajar bahwa LUKS sekarang mendukung perintah luksSuspend
dan luksResume
. Apakah luksSuspend
dan luksResume
telah terintegrasi dalam skrip yang melakukan suspend-to-RAM dan melanjutkan?
encryption
suspend
ecryptfs
luks
Stefan Armbruster
sumber
sumber
Jawaban:
Masalah saat ini
Ketika menggunakan Ubuntu Full Disk Encryption (yang didasarkan pada dm-crypt dengan LUKS) untuk mengatur enkripsi sistem penuh, kunci enkripsi disimpan di memori ketika menangguhkan sistem. Kelemahan ini mengalahkan tujuan enkripsi jika Anda sering membawa-bawa laptop Anda. Seseorang dapat menggunakan perintah cryptsetup luksSuspend untuk membekukan semua I / O dan membersihkan kunci dari memori.
Larutan
ubuntu-luks-suspend adalah upaya untuk mengubah mekanisme penangguhan default. Ide dasarnya adalah mengubah ke chroot di luar root fs terenkripsi dan kemudian menguncinya (withcryptsetup luksSuspend)
sumber
berikut adalah contoh lain dari ubuntu 14.04 cryptsetup luks menangguhkan / melanjutkan partisi root "hampir berfungsi" :-)
satu alasan itu berfungsi untuk arch dan "hampir berfungsi" untuk ubuntu bisa jadi itu adalah kernel Ubuntu
masih "terlalu tua": tambalan berikut belum ada:
buat sinkronisasi () pada suspend-to-RAM opsional
sehingga setiap
pm-utils
atauuser code
yang mengeluarkan segala bentuk kunci yang jelas & permintaan tidur , seperti:akan menghasilkan kernel dalam panggilan
sys_sync()
yang pada gilirannya menyebabkan jalan buntudm-crypt
(oleh desain, setelah luks menangguhkan)sumber
Sebenarnya, Anda hanya perlu memastikan bahwa frasa sandi screensaver Anda diperlukan pada resume dari ditangguhkan, dan Anda akan aman.
Ini akan memastikan bahwa seseorang yang melanjutkan laptop Anda dari penangguhan harus memasukkan kata sandi sebelum mereka dapat masuk ke komputer.
sumber