Tuxonice и зашифрованый swap

0

2

Поставил lubuntu 12.04, в установщике выбрал пункт «зашифровать домашнюю папку». Раздел подкачки он судя по всему тоже зашифровал. Теперь у меня не работает спящий режим, в dmesg tuxonice пишет, что не может найти, откуда просыпаться. Сабж как то можно подружить, или это нереально?

Ссылка

←	PNE (Password never expires) option or Exemptions to passwords rules

Наношпионы.

→

cat /etc/crypttab
Насколько мне известно, по-умолчанию Ubuntu предлагает шифруемый из /dev/urandom swap, чтобы не вводить пароль, при этом гибернация не работает вовсе.

AITap ★★★★★
(28.08.12 01:00:35 MSK)

Ответ на: комментарий от AITap 28.08.12 01:00:35 MSK

psh@psh-laptop:~$ cat /etc/crypttab
cryptswap1 /dev/sda1 /dev/urandom swap,cipher=aes-cbc-essiv:sha256

psh ★★
(28.08.12 01:04:32 MSK) автор топика

Ответ на: комментарий от psh 28.08.12 01:04:32 MSK

И правда, /dev/urandom. Это лечится?

psh ★★
(28.08.12 01:07:05 MSK) автор топика

Ответ на: комментарий от psh 28.08.12 01:07:05 MSK

В дебиане инсталлер предлагает использовать LVM поверх шифрованного физического раздела, это решает проблему восстановления из свапа.

vasilenko ★★
(28.08.12 01:11:15 MSK)

Ответ на: комментарий от vasilenko 28.08.12 01:11:15 MSK

А как оно сказывается на быстродействии? Вроде бы LVM сам по себе снижает скорость чтения-записи,а тут еще и шифрование.

psh ★★
(28.08.12 01:12:47 MSK) автор топика

Ответ на: комментарий от psh 28.08.12 01:04:32 MSK

/dev/urandom swap,cipher=aes-cbc-essiv:sha256

Так и есть.
Попробуйте:
swapoff /dev/mapper/cryptswap1
cryptsetup remove cryptswap1
cryptsetup luksFormat /dev/sda1 # ввод пароля
cryptsetup luksOpen /dev/sda1 cryptswap1
mkswap /dev/mapper/cryptswap1

А в crypttab запишите:
cryptswap1 UUID=<uuid, который появится у раздела /dev/sda1> none luks,swap

А в /etc/initramfs-tools/conf.d/resume:
RESUME=/dev/mapper/cryptswap1

И перегенерируйте initramfs. TuxOnIce здесь будет ни при чём (пробовал найти про гибернацию с tuxonice на зашифрованный раздел, не нашёл), но это хотя бы должно работать.

AITap ★★★★★
(28.08.12 01:15:32 MSK)

Ответ на: комментарий от psh 28.08.12 01:12:47 MSK

У меня luks поверх lvm, ничего не тормозит.

post-factum ★★★★★
(28.08.12 01:22:42 MSK)

Ссылка

Ответ на: комментарий от psh 28.08.12 01:12:47 MSK

У меня на LVM поверх LUKS оверхед получается на уровне единиц процентов.

vasilenko ★★
(28.08.12 01:25:34 MSK)

Ответ на: комментарий от AITap 28.08.12 01:15:32 MSK

Спасибо, все работает - tuxonice усыпляет и будит. Правда для ежедневного использования жестковато, каждой включение два раза пароль вводить. Пойду искать, как это по-человечески делается.

psh ★★
(28.08.12 02:00:41 MSK) автор топика

Ссылка

Ответ на: комментарий от vasilenko 28.08.12 01:25:34 MSK

Неправильно ты, post-factum, диск шифруешь, ты luks на lvm кладешь, а надо luks на винт класть, так секурнее будет

psh ★★
(28.08.12 02:09:12 MSK) автор топика

Ответ на: комментарий от psh 28.08.12 02:09:12 MSK

Это почему же секурнее?

post-factum ★★★★★
(28.08.12 02:14:59 MSK)

Ответ на: комментарий от post-factum 28.08.12 02:14:59 MSK

Посмотрел на два коментария рядом и вспомнил простоквашино, диалог Матроскина и дяди Фёдора:). Кстати, а если серьёзно - есть разница, или нет?

psh ★★
(28.08.12 02:18:27 MSK) автор топика

Ответ на: комментарий от psh 28.08.12 02:18:27 MSK

Понятия не имею — я делал наугад :). А соображения у меня было типа такого: «ну если в основе lvm, то рулим всеми разделами, выборочно их шифруя». /boot тоже на lvm, только без шифрования.

post-factum ★★★★★
(28.08.12 02:24:33 MSK)

Ответ на: комментарий от post-factum 28.08.12 02:24:33 MSK

/boot тоже на lvm, только без шифрования.

Привет, гипервизор. Ключи тоже в /boot?

anonymous
(28.08.12 10:21:14 MSK)

Ссылка

Ответ на: комментарий от post-factum 28.08.12 02:14:59 MSK

ты luks на lvm кладешь, а надо luks на винт класть, так секурнее будет

Это почему же секурнее?

Перемещение логических разделов LVM. Замена паролей LUKS. Старая копия заголовка LUKS. Расположение файловых систем. Гипервизор с клавиатурным шпионом в неразмеченной области LVM. Подмена загрузчика. Подмена незашифрованного логического раздела. Запись компромата в незашифрованный раздел.

anonymous
(28.08.12 11:08:04 MSK)

Ответ на: комментарий от anonymous 28.08.12 11:08:04 MSK

Граб2 всё равно с зашифрованного раздела не умеет грузиться.

post-factum ★★★★★
(28.08.12 13:00:07 MSK)

Ответ на: комментарий от post-factum 28.08.12 13:00:07 MSK

Граб2 всё равно с зашифрованного раздела не умеет грузиться.

С USB диска умеет. Далее работает initramfs, которое умеет LUKS, LVM, RAID, /usr на отдельном разделе и всё на свете.

anonymous
(29.08.12 00:26:14 MSK)

Ответ на: комментарий от anonymous 29.08.12 00:26:14 MSK

Да вот как-то нет желания таскать флешку с собой.

post-factum ★★★★★
(29.08.12 00:31:51 MSK)

Ответ на: комментарий от post-factum 29.08.12 00:31:51 MSK

Да вот как-то нет желания таскать флешку с собой.

Пряч под мышиный коврик.

anonymous
(29.08.12 00:39:05 MSK)

Ответ на: комментарий от anonymous 29.08.12 00:39:05 MSK

Коврика нету :)).

post-factum ★★★★★
(29.08.12 01:25:34 MSK)

Ответ на: комментарий от post-factum 29.08.12 01:25:34 MSK

Сервак что ли? Если да, то да - головная боль. Нужно программно-аппаратное решение, навроде TPM и загрузки по сети. Либо забить на шифрование как на лишнюю бесполезную сущность.

anonymous
(29.08.12 13:44:47 MSK)

Ответ на: комментарий от anonymous 29.08.12 13:44:47 MSK

Ноут.

post-factum ★★★★★
(29.08.12 14:26:41 MSK)

Ответ на: комментарий от post-factum 29.08.12 14:26:41 MSK

Тогда только ССЗБ, другого выхода нет.

anonymous
(29.08.12 15:04:17 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	PNE (Password never expires) option or Exemptions to passwords rules

Security

Наношпионы.

→

Похожие темы