Debian, sifrovany oddil, chci vynutit zadavani hesla pred probuzenim z RAM

Dobry den chytri lide,

mam debian a sifrovany oddil, uspavam notebook do RAM (zaklapnutim vika)..

po otevreni a probuzeni se zobrazi login okno, prihlasim se a pracuji.

Chtel bych system nakonfigovat tak, aby napred pozadoval po probuzeni heslo k sifrovanemu oddilu (/home), ale nejak pred tim nez dojde k rozmrazeni userspace, protoze tam bezi programy, oddil je pripojen, souboy na nem otevreny... jde to nejak udelat?

ted kdyz mi nekdo ukradne notebook a je uspanej (coz je porad, nikdy nevypinam), tak muzu jenom doufat, ze ho zlodej driv restartuje (a odpoji sifrovanej oddil) driv nez obejde login obrazovku.

Dekuji mockrat za rady nebo nasmerovani na oblasti kterymi by se to dalo resit.

Odpovědi

ty chces beziacemu systemu spravit nasledovne :)

cat /dev/urandom > /dev/sda2

skus si to na necisto vo virtualke co to spravi s beziacimi aplikaciami :)

tvoje riesenie je ten notebook vypinat.

4.3.2017 17:18 Filip Svoboda
Rozbalit Rozbalit vše Re: Debian, sifrovany oddil, chci vynutit zadavani hesla pred probuzenim z RAM

vypinat je sice reseni, ale je radove pomalejsi.

chtelo by to neco jako

1) pri uspani systemu, zmrazit procesy, zahodit sifrovaci klic (zadane heslo) k pripojenemu oddilu

2) pred probuzenim si vyzadat heslo a kdyz bude OK, vzbudit procesy a pokracovat v bezne praci

5.3.2017 11:31 Sten
Rozbalit Rozbalit vše Re: Debian, sifrovany oddil, chci vynutit zadavani hesla pred probuzenim z RAM

Blbost. luksSuspend zablokuje všechna čtení a zápisy do doby, než se oddíl odemkne pomocí luksResume. Aplikace si toho, že byl šifrovaný oddíl odpojen, vůbec nevšimnou, pro ně to bude jen trochu delší uspání.

jake mas sifrovani? takove to co v *buntu se pta pri instalaci "sifrovat domaci slozku" a provadi se pres ecryptfs?
nebo mas LUKS sifrovani? v prvnim pripade nevim, v druhem mozna tohle: https://github.com/jonasmalacofilho/ubuntu-luks-suspend (nezkousel sem jeste, jen sem to okukoval a neco se mi na tom nezdalo), ale melo by z toho vyjit... v tvem pripade kdy chces zamknout jen /home by to melo byt o dost snadnejsi, tohle resi i zamknuti LUKS s rootfs a kopirovani nastroju na odemknuti do initu a chroot na nej pred suspendem...

porad nemam telo, ale uz mam hlavu... nobody

5.3.2017 11:40 Sten
Rozbalit Rozbalit vše Re: Debian, sifrovany oddil, chci vynutit zadavani hesla pred probuzenim z RAM

Ten odkazovaný repozitář používá pm-utils, to už dnes snad nikdo ani nemá. Verze pro Debian-based distribuce používající systemd. Pro zadávání hesla si to dočasně přimountuje initramfs, kde je funkční cryptsetup.

5.3.2017 18:37 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Debian, sifrovany oddil, chci vynutit zadavani hesla pred probuzenim z RAM

tak v *buntu 14.04/Mint 17 to ma kazdej jeste par let ;) ale uznavam ze pro tazateluv Debian je fork z tveho url vhodnejsi :)

porad nemam telo, ale uz mam hlavu... nobody

Pokud máš /home v samostatném šifrovaném kontejneru, tak můžeš použít cryptsetup luksSuspend/luksResume. Chová se to stejně, jako když NFS vytáhneš kabel – programy se zaseknou do odemčení. Jestli je k tomu nějaké rozumné GUI netuším.

Pokud máš šifrovaný celý systém, je to trochu složitější, neboť po zamčení se už nemusí povést načíst potřebné nástroje na odemčení. Takže to chce nějaké obezličky, jako třeba tmpfs se statickou binárkou odemykacího nástroje a podobně.

Možná by se dalo přepnout do textové konzole a použít Plymouth (umí grafický prompt na zadání hesla při bootu).

Hello world ! Segmentation fault (core dumped)

Dotaz: Debian, sifrovany oddil, chci vynutit zadavani hesla pred probuzenim z RAM

Odpovědi