通常,我不会再关闭笔记本计算机,而赞成使用RAM暂挂。缺点是恢复后无需输入密码即可完全访问我的加密主分区。如果有人偷了你的笔记本,那是个坏主意。
查看cryptsetup的联机帮助页。我了解到LUKS现在支持luksSuspendand luksResume命令。已经luksSuspend与luksResume被整合在脚本执行挂起到内存和简历?
Answers:
当使用Ubuntu Full Disk Encryption(基于带有LUKS的dm-crypt)来设置完整的系统加密时,挂起系统时,加密密钥会保留在内存中。如果您经常随身携带悬浮的笔记本电脑,则此缺点会破坏加密的目的。可以使用cryptsetup luksSuspend命令冻结所有I / O并从内存中清除密钥。
ubuntu-luks-suspend 尝试更改默认的挂起机制。基本思想是更改为加密根fs之外的chroot,然后将其锁定(withcryptsetup luksSuspend)
这里是另一个例子的14.04 cryptsetup陆氏暂停/恢复根分区的ubuntu “几乎工程” :-)
它对arch起作用而对ubuntu起作用的原因之一可能是ubuntu内核
Linux system 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
仍然“太旧”:尚不存在以下补丁:
因此任何pm-utils或user code发出任何形式的
清除键和睡眠请求,例如:
cryptsetup luksSuspend root
echo -n "mem" >/sys/power/state
将导致内核调用sys_sync(),进而导致死锁dm-crypt(根据设计,在luks挂起后)
实际上,您只需要确保从挂起状态恢复时需要屏幕保护密码,就可以安全了。
这样可以确保使某人从暂停状态恢复到笔记本电脑状态时必须先输入密码,然后他们才能进入计算机。
