Come montare in modo sicuro la partizione LUKS all'accesso?

4

Desidero accedere a una partizione dati crittografata LUKS dopo l'accesso, idealmente senza digitare una password, ovviamente in modo sicuro.

Anche la mia home directory è crittografata con LUKS.

Ho trovato questo tutorial: link .

Mi sembra del tutto non sicuro siccome chiunque avvia un cd live può accedere alla directory root , quindi alla chiave, quindi decrittografare i dati dell'altra partizione.

Ecco cosa ho fatto finora,

Crea una nuova chiave:

sudo dd if=/dev/urandom of=$HOME/.data_crypt_keyfile bs=1024 count=4

Rendilo di sola lettura su root:

sudo chmod 0400 $HOME/.data_crypt_keyfile

Aggiungi questa nuova chiave agli slot della chiave LUKS:

sudo cryptsetup luksAddKey /dev/sdc1 $HOME/.data_crypt_keyfile

Come faccio ad aprire automaticamente questa partizione dopo il login, e chiuderla al logout?

    
posta Victor Lamoine 01.08.2016 - 14:22

2 risposte

2

Se la tua cartella principale è crittografata da LUKS, non dovrebbe esserci modo di leggere la chiave senza che la cartella home venga decifrata (il che avviene solo quando hai effettuato l'accesso).

Se il file di chiavi viene effettivamente letto dalla directory dell'utente ( /home/<whatever> ) e non /root , dovresti stare bene.

Per quanto riguarda il mount automatico all'accesso, puoi utilizzare uno script semplice nell'elenco delle applicazioni di avvio (esegui dopo l'accesso con successo, quindi funzionerà fintanto che stai montando questa unità su userspace). Per il logout, puoi impostarlo per smontare quando uccidi la tua sessione X .

In breve, dovresti fare quanto segue:

  1. Crea un piccolo script che smonti l'unità crittografata da dovunque sia montata
  2. Aggiungi questo a session-cleanup-script in /etc/lightdm/lightdm.conf . Questo verrà eseguito ogni volta che una sessione viene uccisa, quindi questa potrebbe non essere l'opzione migliore.

Avvertimenti

  • Come accennato in precedenza, lo script di disconnessione automatica viene eseguito quando viene interrotta la sessione X qualsiasi , quindi è probabile che l'unità venga disinstallata per errore quando un altro utente si disconnette dalla sessione simultanea. Tuttavia, questo non sarà un problema se sei un solo utente che mantiene solo una singola sessione X in esecuzione.
  • Allo stesso modo, è necessario tenere aperta una sessione X, anche in un TTY, a meno che non si desideri montare / smontare manualmente il dispositivo.
risposta data Kaz Wolfe 30.08.2016 - 08:26
0

Puoi usare "pam_mount".

Avrai bisogno della stessa password per il tuo utente e la tua partizione. Inoltre, non smantellerà la partizione dopo il logout.

Ecco la spiegazione che mi ha aiutato a ottenere ciò di cui avevo bisogno per il mio setup.

    
risposta data Nick 31.12.2016 - 19:17

Leggi altre domande sui tag