[encryption] swap random key > password

0

1

На данный момент своп шифруется при каждой загрузке случайным ключем, настраивал это еще при установке Lenny на ноут с год тому назад.
Появилась потребность в мобильности и нужно использовать hibernate.
На данный момент:

crypttab

sda2_crypt /dev/sda2 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap
sda3_crypt UUID=XXXXXXXXXXXXXXX none luks

fstab

# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
/dev/mapper/sda3_crypt /               ext3    errors=remount-ro 0       1
# /dev/sda1       /boot           ext3    defaults        0       2
UUID=YYYYYYYYYYYYYYYY       /boot           ext3    defaults        0       2
/dev/mapper/sda2_crypt none            swap    sw              0       0
/dev/cdrom        /media/cdrom0   udf,iso9660 user,noauto     0       0

tmpfs /tmp tmpfs defaults 0 0
# none /proc/xen xenfs defaults 0 0

resume

RESUME=/dev/mapper/sda2_crypt

Перечитываю мануалы, везде приводят хау-ту как использовать рандомный ключ при загрузке, а вот как установить по паролю не нашел. Киньте в меня что-ли примером или парой команд.

Ссылка

←	Какая-то зараза

вопрос: iptables в роли интернет фильтра

→

s%/dev/random%none

Не? Ну и можно впилить туда LUKS — man cryptsetup.

GotF ★★★★★
(09.12.10 16:35:37 MSK)

Ответ на: комментарий от GotF 09.12.10 16:35:37 MSK

Эммм, а если?

dd if=/dev/random of=/root/swapkey bs=1 count=256
chmod 600 /root/swapkey

crypttab

sda2_crypt UUID=ZZZZZZZZZZZZZZZ /root/swapkey cipher=aes-cbc-essiv:sha256,size=256,swap
sda3_crypt UUID=XXXXXXXXXXXXXXX none luks

«/» > CRYPTDISKS_MOUNT=«»

# Run cryptdisks at startup ?
CRYPTDISKS_ENABLE=Yes

# Mountpoints to mount, before starting cryptsetup. This is useful for
# keyfiles on removable media. Seperate mountpoints by space.
CRYPTDISKS_MOUNT="/"

# Default check script, see /lib/cryptsetup/checks/
# Takes effect, if the 'check' option is set in crypttab without a value
CRYPTDISKS_CHECK=vol_id

# Default precheck script, see 
# Takes effect, if the 'precheck' option is set in crypttab without a value
CRYPTDISKS_PRECHECK=

Как я понимаю, пароль будет запрашиваться только один раз при загрузке на / после чего своп будет шифроваться ключевым файлом. Кроме того, при необходимости можно просто сгенерить новый ключевой файл и перезагрузиться. Гибернация должна работать при такой схеме. Верно?

Umberto ★☆
(09.12.10 17:32:09 MSK) автор топика

Ответ на: комментарий от Umberto 09.12.10 17:32:09 MSK

>> Гибернация должна работать при такой схеме. Верно?

У меня смутные сомнения. При этом ведь будет монтироваться [i]не[/i] отмонтированный, по причине гибернации, /.

GotF ★★★★★
(09.12.10 17:41:14 MSK)

Ответ на: комментарий от GotF 09.12.10 17:41:14 MSK

Эм, но ведь, данные-то откуда восстанавливаться содержатся в
/etc/initramfs-tools/conf.d/resume

RESUME=/dev/mapper/sda2_crypt

Впрочем, как и остальные, следовательно / всегда должен монтироваться, или я не так понял.

Umberto ★☆
(09.12.10 17:52:25 MSK) автор топика

Ответ на: комментарий от Umberto 09.12.10 17:52:25 MSK

>> /etc/initramfs-tools/conf.d/resume

Этот файл сорсится хуком при генерации initrd. Намёк ясен? ;-)

GotF ★★★★★
(09.12.10 17:54:46 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Какая-то зараза

Security

вопрос: iptables в роли интернет фильтра

→

Похожие темы