暗号化されたホームフォルダーとスワップパーティションを使用して、ラップトップでUbuntu12.04を実行します。この暗号化された設定を行う前は、休止状態を有効にしていました。暗号化されたスワップを使用して休止状態を有効にする方法について、このドキュメントを見つけました。
ドキュメントに記載されているソリューションを使用することで気になるのは、ユーザーアカウントにログインするためにパスワードを入力する必要があることとは別に、スワップパーティションをマウントするためにパスワードを個別に入力する必要があることです。
これに対する可能な解決策は、(ログイン画面をスキップするために)ユーザーアカウントが自動的にログインできるようにし、代替のログイン画面としてスワップパーティションのマウントを表示できるようにすることです。私は私のラップトップの唯一のユーザーであることに注意してください。
この方法の唯一の欠点は、パスワードを3回試行した後でも、スワップパーティションをマウントせずに、システムが起動を継続することです。デスクトップを誰でも自由に利用できるようにしておきます。
起動時にパスワードを1回入力するだけで休止状態を使用したいので、私の質問は次のことが可能かどうかです。
- または、パスワード試行回数を無限にします
- または、3回試行した後、システムを再起動させます(サイクルを最初からやり直します)
そしてこれが可能であれば
- それが私が考えていないセキュリティ違反を引き起こすかどうか
不可能な場合:起動時に2つのパスフレーズを入力しなくても、私や他のユーザーが暗号化と組み合わせてHibernateを使用できるようにする別のクリエイティブな代替手段があるかどうか。
助けてくれてありがとう!
承認された回答:
提案:
ディスク上に2つのパーティションを作成するだけで済みます。
- / boot(暗号化されていない)を保持するための小さなパーティション
- 暗号化用の物理ボリュームとして使用されるディスクの残りの部分。
次に、2番目のパーティションで暗号化を構成し、LVMを使用して2つのボリュームを作成します:
/ dev / vg0/rootと
/dev / vg0 / swap
利点:
- 個々のパーティションの暗号化について心配する必要はありません。
- カーネルを保持する/bootを除いて、他のすべては暗号化されます。これにより、誰かがマシンを再起動し、シングルユーザーモードに入り、OSを変更して、暗号化されたホームからデータを簡単に取得できるようにすることができます。
- 暗号化キーを入力するのは、起動ごとに1回だけです。
- あなたが唯一のユーザーだと言っていましたが、必要に応じて他のユーザー用に個別のパスフレーズ(キースロット)を追加できます。
あなたの質問の他の部分に関して:この方法がパスワードを繰り返し要求するかどうかは覚えていません。間違ったパスワードが与えられた後の遅延がある限り、これ自体がセキュリティリスクになるとは思いません(ブルートフォース攻撃を阻止するため)。
その方法:
私はインストールにGUIを使用することはなく、LUKSで暗号化されたブロックデバイス上にLVMを作成するためにGUIを使用することはできないようです。
関連:ubuntu 14.04 Rackapaceサーバーのログオンからbtmpを削除しても安全ですか?私がテストした回避策:
- amd64またはi386のネットブートISOイメージをダウンロードしてCDに書き込みます。
- 起動するときは、メニューから[インストール]を選択します
- いくつかの基本的な質問に答え、root以外のユーザーを作成し、ホームディレクトリを暗号化しないことを選択します。これは私たちがここで望んでいることではありません。
- [パーティションディスク]ダイアログが表示されたら、[手動]を選択します。
- 必要に応じてディスク上に空のパーティションテーブルを作成し、次に2つのプライマリパーティションを作成します。
- /bootの最初のプライマリパーティションを512MBにします。これは、
カーネルとinitrdイメージが存在し、
暗号化されないままになる場所です。 - 残りの
スペースをカバーし、そのタイプを「暗号化用の物理ボリューム」として選択する2番目のプライマリパーティション。
- /bootの最初のプライマリパーティションを512MBにします。これは、
Configure encrypted volumes
に進みます 、変更を保存し、/dev/sda2
を暗号化します 、パスワードを選択して終了します。この時点で、暗号化されたボリュームsda2_crypt
が作成されます。- LVMの
physical volume for LVM
として使用することを選択します - 論理ボリュームマネージャーの構成に進みます。ボリュームグループ
vg0
を作成します/dev/mapper/sda2_crypt
- そのグループ内に2つの論理ボリュームを作成します。
- スワップ–必要な大きさ(1GBを選択)
- ルート–残りのスペースを使用します
- この段階で、次の構成が表示されます。
- ルート論理ボリュームのFSを選択し、
/
としてマウントされるように構成します スワップスペースとして使用されるスワップLV: - 変更をディスクに書き込み、インストールを続行します。
- 後でインストールするパッケージ(タスクセル)を尋ねられ、ubuntu-desktopを安全に使用できます
- Grubのインストール先を尋ねられたとき、自分のマシンに他のOSがないため、MBRを選択しました。
これが、私が常にネットブートイメージを選択する数少ない理由の1つです。開発者がGUIインストーラーに含めるのに十分な方法で完全に機能する機能を移植するまで、私は抑制されたくありません。