Verschlüsselung und Ruhezustand austauschen?

Ich verwende Ubuntu 12.04 auf meinem Laptop mit einem verschlüsselten Home-Ordner und einer Swap-Partition. Bevor ich dieses verschlüsselte Setup hatte, hatte ich meinen Ruhezustand aktiviert. Ich habe diese Dokumentation gefunden, wie man den Ruhezustand mit einem verschlüsselten Swap aktiviert.

Nun, was mich stört, wenn ich die Lösung verwende, wie sie in der Dokumentation angegeben ist, ist, dass ich nicht nur mein Passwort eingeben muss, um mich bei meinem Benutzerkonto anzumelden, sondern auch ein separates Passwort eingeben muss, um meine Swap-Partition einzuhängen.

Eine mögliche Lösung dafür ist (oder?), meinem Benutzerkonto die automatische Anmeldung zu ermöglichen (um den Anmeldebildschirm zu überspringen) und das Mounten der Swap-Partition als alternativen Anmeldebildschirm anzuzeigen. Beachten Sie, dass ich der einzige Benutzer meines Laptops bin.

Der einzige Nachteil dieser Methode ist, dass das System nach 3 Passwortversuchen trotzdem weiter bootet, allerdings ohne die Swap-Partition zu mounten. Ich lasse meinen Desktop für jedermann frei verfügbar.

Da ich den Ruhezustand verwenden möchte, während ich mein Passwort nur einmal beim Start eingeben muss, ist meine Frage, ob es möglich ist:

1. Oder lassen Sie die Zahl der Passwortversuche unendlich hoch werden
2. oder lassen Sie das System alternativ nach drei Versuchen neu starten (beginnen Sie den Zyklus erneut)

und wenn dies möglich ist

1. ob es eine Sicherheitslücke darstellen würde, an die ich nicht gedacht habe

und falls nicht möglich:ob es eine andere kreative Alternative geben würde, die es mir und anderen Benutzern ermöglicht, den Ruhezustand in Kombination mit der Verschlüsselung zu verwenden, ohne beim Booten zwei Passphrasen eingeben zu müssen.

Vielen Dank für jede Hilfe!

Akzeptierte Antwort:

Der Vorschlag:

Sie könnten einfach 2 Partitionen auf Ihrer Festplatte erstellen.

1. eine kleine Partition für /boot (unverschlüsselt)
2. der Rest der Festplatte, der als physisches Volume für die Verschlüsselung verwendet werden soll.

Ich würde dann die Verschlüsselung auf der zweiten Partition konfigurieren und LVM verwenden, um zwei Volumes zu erstellen:
/dev/vg0/root und
/dev/vg0/swap

Vorteile:

1. Sie müssen sich keine Gedanken über die Verschlüsselung einzelner Partitionen machen.
2. Abgesehen von /boot, das Ihren Kernel enthält, ist alles andere verschlüsselt. Das schützt Sie davor, dass jemand Ihren Computer neu startet, in einen Einzelbenutzermodus wechselt und Ihr Betriebssystem so modifiziert, dass er Ihre Daten trotzdem problemlos aus Ihrem verschlüsselten Zuhause abrufen kann.
3. Sie geben den Verschlüsselungsschlüssel nur einmal pro Boot ein.
4. Ich weiß, Sie sagten, Sie seien der einzige Benutzer, aber Sie könnten separate Passphrasen (Schlüsselplätze) für andere Benutzer hinzufügen, wenn Sie müssten.

Zum anderen Teil Ihrer Frage:Ich kann mich nicht erinnern, ob diese Methode wiederholt nach dem Passwort fragt, und ich denke nicht, dass dies an sich ein Sicherheitsrisiko darstellen würde, solange es eine Verzögerung gibt, nachdem ein falsches Passwort angegeben wurde ( um Brute-Force-Angriffe zu vereiteln).

Wie es gemacht wird:

Ich verwende nie die GUI für die Installation und anscheinend können Sie sie nicht verwenden, um ein LVM auf einem LUKS-verschlüsselten Blockgerät zu erstellen.

Verwandte:Ist es sicher, btmp aus der Anmeldung auf dem Ubuntu 14.04-Rackapace-Server zu löschen?

Die Problemumgehung, die ich getestet habe:

1. Laden Sie das Netboot-ISO-Image für AMD64 oder i386 herunter und brennen Sie es auf eine CD.
2. Wenn Sie davon booten, wählen Sie „Installieren“ aus dem Menü
3. Beantworten Sie einige grundlegende Fragen, erstellen Sie einen Nicht-Root-Benutzer und entscheiden Sie sich dafür, das Home-Verzeichnis NICHT zu verschlüsseln. Das wollen wir hier nicht.
4. Wenn Sie zum Dialogfeld „Festplatten partitionieren“ gelangen, wählen Sie „Manuell“.
5. Erstellen Sie bei Bedarf eine leere Partitionstabelle auf der Festplatte und dann 2 primäre Partitionen.
   • Erste primäre Partition für /boot und 512 MB groß machen. Hier
     befinden sich Ihre Kernel- und Initrd-Images und bleiben
     unverschlüsselt.
   • Zweite primäre Partition, um den verbleibenden
     Speicherplatz abzudecken und ihren Typ als „physisches Volume für Verschlüsselung“ zu wählen.

   

6. Fahren Sie mit Configure encrypted volumes fort , speichern Sie die Änderungen und verschlüsseln Sie /dev/sda2 , wählen Sie ein Passwort und beenden Sie den Vorgang. An diesem Punkt haben Sie ein verschlüsseltes Volume sda2_crypt
7. Wählen Sie die Verwendung als physical volume for LVM
8. Fahren Sie mit der Konfiguration des Logical Volume Manager fort. Erstellen Sie eine Volumengruppe vg0 auf /dev/mapper/sda2_crypt
9. Erstellen Sie 2 logische Volumes innerhalb dieser Gruppe.
   • Swap – wie groß Sie auch sein müssen (ich habe 1 GB gewählt)
   • root – den verbleibenden Platz nutzen
10. Zu diesem Zeitpunkt sollten Sie die folgende Konfiguration sehen:
11. Wählen Sie ein FS für Ihr logisches Root-Volume und konfigurieren Sie es so, dass es als / gemountet wird und das Swap-LV, das als Swap-Space verwendet werden soll:
12. Änderungen auf die Festplatte schreiben und mit der Installation fortfahren.
13. Später werden Sie gefragt, welche Pakete installiert werden sollen (tasksel) und Sie können sicher mit ubuntu-desktop fortfahren
14. Als ich gefragt wurde, wo ich Grub installieren soll, habe ich MBR gewählt, da ich keine anderen Betriebssysteme auf meinem Rechner habe.

Und das ist wirklich einer der wenigen Gründe, warum ich immer die Netboot-Images wähle. Ich möchte nicht zurückgehalten werden, bis die Entwickler die Funktionalität, die perfekt funktioniert, so portieren, dass sie hübsch genug ist, um in den GUI-Installer aufgenommen zu werden.