Administrace komentářů

1. WoL z hibernace bezne pouzivam, funguje a system je pri hibernaci 0% casu v provozu, jen LAN ceka

Záleží na použití toho systému. Pokud je přijatelné, že se musí napřed nějak (netriviálně) „aktivovat“ (WoL + SSH do initramdisku pro vzdálené odemčení LUKS), aby se dal použít, může to třeba i fungovat.

Pokud se ovšem LUKS otevírá sám takovým tím klasickým způsobem pomocí klíče uloženého v TPM2, který TPM2 zpřístupní, pokud je v pořádku SecureBoot a pokud nebyl přeflashovaný firmware … inu, potom hibernace nemá žádnou výhodu vůči uspání — zatímco uspání nechá v RAM master key, probuzení z hibernace (stylem LUKS+TPM2) automaticky odemkne LUKS (a dostane master key do RAM), klidně bez autentifikace toho, kdo probuzení způsobil…

Jinak, asi jsem neměl štěstí na motherboardy, UEFI a jejich WoL. Vždycky se mi to probouzelo, kdy nemělo, a neprobouzelo, kdy mělo. Že bych se na to mohl spolehnout, až budu 1000 km daleko, k takovému dojmu jsem bohužel nikdy nedospěl.

2. hibernaci pouzivam nekolikrat za den

Zajímavá záliba. No, já zase několikrát za den chlastám whisky. Každý má něco takového … svého.

3. hibernace narozdil od suspendu nenechava odemcenej LUKS

První hesla, která mě napadají: AMD SME, Intel TME… Takže ne, u moderního hardwaru není LUKS v žádném smyslu „ponechaný odemčený“. Hodně štěstí při cold boot útocích a získávání klíče z RAM pod SME nebo TME. Nic z toho sice nebude neprůstřelné, je to proprietární a bude to mít bezpečnostní díry, nicméně … ten cold boot útok na SME a TME zatím (na rozdíl od Yetiho) nebyl viděn.

Každopádně, pokud to máš opravdu dobře zabezpečené, bude to bezesporu zajímavá konfigurace: Musíš tam tedy mít napřed dost obsáhlý initramdisk, do kterého to nabootuje po WoL a který umí spustit svůj vlastní SSH server, do kterého se pak můžeš přihlásit a odemknout LUKS pro pokračování „probuzení“ z hibernace (nebo bootu)…

Jinak, pokud se LUKS odemyká automaticky za asistence TPM2, může být hibernace zranitelnější než uspání: K získání master key z počítače uspaného do RAM potřebuješ provést cold boot útok včas a v místě, kde počítač zrovna je, zatímco pro získání master key z automaticky odemykaného hibernovaného počítače je cold boot nesrovnatelně snazší; můžeš hibernovaný počítač napřed odpojit a odnést, kam potřebuješ.

Každopádně záleží na požadavcích na ten systém. Pokud příslušný systém má za úkol existovat trochu samostatně a musí se umět aktivovat bez zásahu uživatele, obvykle v tom bude hrát roli jistý kompromis (který SME / TME částečně řeší, ale nic není dokonalé).

4. boot + spusteni hromady app s dostanim do puvodniho stavu je nekolikanasobne pomalejsi nez kdybych probouzel z hibernace na rotacaku

S dobrým desktopovým prostředím mi to nepřipadá problematické.

Pokud je momentální konfigurace desktopového prostředí jaksi důležitá a obtížně / pracně dosažitelná, dá se říct, že patří k uživatelovým „datům“ a měla by tedy být náležitě zálohova(tel)ná, obnovitelná atd.