Je suis sur Ubuntu 13.04 en utilisant le chiffrement intégral du disque (LVM au-dessus de LUKS).
Je souhaite intégrer luksSuspend
la procédure de suspension (et d'utilisation ultérieure luksResume
) afin de pouvoir suspendre en RAM sans laisser de clé sur la mémoire et la racine non verrouillée.
Cela fait 7 heures que j'essaie de porter un script pour Arch Linux , mais sans succès jusqu'à présent: je n'ai honnêtement aucune idée de ce que je fais ...
Quelqu'un peut-il m'aider à porter ceci (ou à créer quelque chose comme ça à partir de zéro)? Ou, au moins, quelqu'un peut-il m'indiquer la documentation sur la manière d'intégrer des éléments dans les procédures de suspension et de conserver les fichiers binaires et les scripts nécessaires (tels que cryptsetup) même après que tous les E / S de root aient été bloqués luksSuspend
?
En ce qui concerne la façon de garder les fichiers binaires et les scripts nécessaires à la reprise, cet autre article de blog (également pour Arch) les a copiés /boot
; J'aimerais cependant utiliser quelque chose de plus dans les lignes que Vianney a utilisées dans le script que j'ai mentionné précédemment, car cette approche semble être un peu plus élégante à cet égard.
pm-suspend
et il est apparu que j'étais presque là. Cependant, j'ai découvert que je ne pouvais pas simplement suspendre le système (echo -n "mem" > /sys/power/state
) après avoir gelé la racine fs (cryptsetup luksSuspend ...
), car cela nécessite encore quelques i / o ...Réponses:
J'ai rencontré le même problème et j'ai donc essayé de porter le même script, comme vous pouvez le voir ici . Il ne touche plus aucun stockage non volatile après
luksSuspend
, il fonctionne donc même avec un vrai cryptage intégral du disque avec un / boot chiffré. Cependant, vous devrez faire attention - cela pourrait ne pas fonctionner comme prévu de temps en temps!Le script porté effectue les opérations suivantes:
/sys
,/proc
,/dev
,/run
) aux ramfs mountluksSuspend
et met l'ordinateur en veilleluksResume
remontez les systèmes de fichiers, redémarrez les services, démontez les montages de liaison dans le montage initramfsJe n'ai pas encore fait de tests approfondis sur mon script, mais il semble fonctionner de manière fiable pour moi. Si vous utilisez un autre système de fichiers (c’est-à-dire pas ext4 ou btrfs), vous rencontrerez peut-être des problèmes avec barrier. Vous devrez donc également modifier le script.
Quoi qu'il en soit, il est bon de tester et de vérifier que les scripts fonctionnent en premier. Si vous rencontrez des problèmes lors de la tentative de passer de Linux à S3 (c’est-à-dire at
echo mem > /sys/power/state
), vous devriez être en mesure de récupérer:sudo cryptsetup luksResume anything_here
starting version xxx
est affiché sur le nouveau vt), passez au tty que vous avez ouvert précédemment et exécutezsudo cryptsetup luksResume your_luks_device_name_here
/run/initramfs
:sudo chroot /run/initramfs /bin/ash
luksResume
:cryptsetup luksResume your_luks_device_name_here && exit
/run/initramfs
, puis remonter votre système de fichiers racine avec barrière, s’il ya lieu.la source
Je n'ai pas l'expérience de cette configuration, mais beaucoup de gens prétendent y réussir. En voici quelques uns.
dm-crypt avec LUKS - Encrypting la partition Swap
Howto: harddisk crypté Completly y compris la suspension à la partition de disque avec Ubuntu 6.10 Edgy Eft
ubuntu-full-disque cryptage-lvm-luks
Cependant, aucun d'entre eux n'utilise luksSuspend (ce qui pourrait expliquer pourquoi ils fonctionnent).
la source
J'ai passé un peu de temps à obtenir cela entièrement fonctionnel sur Ubuntu 15.10. Si vous essayez de faire fonctionner cela sur ext2, ext3 ou ext4, vous devrez mettre à jour / etc / fstab pour monter le volume avec l'option 'nobarrier'. Sinon, je suggère d'utiliser BTRFS.
Une fois votre système de fichiers préparé, utilisez le script ici: https://github.com/Microcentillion/ubuntu-lukssuspend
la source