Normalmente ya no apago mi computadora portátil en favor del uso de suspender a RAM. La desventaja es que mi partición de inicio encriptada es completamente accesible después de reanudar sin ingresar la frase de contraseña. Una mala idea si alguien roba tu cuaderno ...
Mirando la página de manual de cryptsetup . Aprendí que LUKS ahora admite el comando luksSuspend
y luksResume
. Ha luksSuspend
y luksResume
ha integrado en los guiones que hacen suspender a RAM y hoja de vida?
encryption
suspend
ecryptfs
luks
Stefan Armbruster
fuente
fuente
Respuestas:
Problema actual
Cuando se usa Ubuntu Full Disk Encryption (que se basa en dm-crypt con LUKS) para configurar el cifrado completo del sistema, la clave de cifrado se mantiene en la memoria cuando se suspende el sistema. Este inconveniente anula el propósito del cifrado si llevas mucho tu computadora portátil suspendida. Se puede usar el comando cryptsetup luksSuspend para congelar todas las E / S y borrar la clave de la memoria.
Solución
ubuntu-luks-suspend es un intento de cambiar el mecanismo de suspensión predeterminado. La idea básica es cambiar a un chroot fuera de la raíz cifrada fs y luego bloquearlo (con cryptsetup luksSuspend)
fuente
Aquí hay otro ejemplo de ubuntu 14.04 cryptsetup luks suspender / reanudar la partición raíz "casi funciona" :-)
una razón por la que funciona para arch y "casi funciona" para ubuntu podría ser ese kernel de ubuntu a partir de
todavía es "demasiado viejo": el siguiente parche aún no está allí:
hacer sync () en suspensión a RAM opcional
así que cualquiera
pm-utils
ouser code
eso emite cualquier forma de claves claras y solicitud de suspensión , como:dará como resultado un kernel en una llamada a la
sys_sync()
que a su vez provoca un punto muertodm-crypt
(por diseño, después de que se suspenda luks)fuente
En realidad, solo necesita asegurarse de que su frase de contraseña del protector de pantalla sea necesaria en el currículum vitae desde la suspensión, y estará seguro.
Esto asegurará que alguien que reanude su computadora portátil de la suspensión tenga que ingresar una contraseña antes de poder ingresar a la computadora.
fuente