@ P.M. Ik zal erbij vermelden dat het niet geschikt is voor beginners, en dat het altijd verstandig is om backups van data te maken, en dat iedereen zelf een afweging moet maken een dergelijk sterke beveiliging van gegevens wel zinvol is. Voor mij persoonlijk is het niet zo heel zinvol (hoewel ik het wel een prettige gedachte vind dat ik me geen zorgen hoef te maken als mijn laptop gestolen wordt), maar ik vind het vooral leuk dat het kan. Maar voor ministers, officiers van justitie, bouwfraudeurs met een dubbele boekhouding etc. die wel met erg gevoelige data rondlopen is Ubuntu met deze ingreep zeker aan te raden.
Zeker gezien de schandalen van afgelopen jaren met verloren bedrijfslaptops, afgeschreven computers e.d. vol met vertrouwelijke data die in verkeerde handen zijn gevallen.
(Zie ook
http://sync.nl/identiteitsdiefstal-bescherm-jezelf/ )
De Ubuntu installer maakt onnodig dubbele encryptie aan. De beschreven methode maakt een lvm bovenop een versleuteld volume aan, en in de volumegroep een swap partitie. De Ubuntu installer gaat er van uit dat een swap partitie op een lvm nog onversleuteld is, en versleuteld deze dus automatisch nog een keer. Vandaar de dubbele encryptie.
De oplossing is vrij eenvoudig, een aanpassing van /etc/fstab, /etc/crypttab en het al versleutelde logische swap volume initieren voor swap:
test@ubuntu:~$ cat /etc/crypttab
sda1_crypt UUID=15da3f11-015a-4ca4-aa9c-64abf6e3be7a none luks
cryptswap1 /dev/mapper/volumegroup-swap /dev/urandom swap,cipher=aes-cbc-essiv:sha256
(waar volumegroup de naam is die bij de installatie aan de volumegroup is gegeven, en swap de naam is die aan het swap logische volume is gegeven tijdens de installatie)
verander dit in:
sda1_crypt UUID=15da3f11-015a-4ca4-aa9c-64abf6e3be7a none luks
#cryptswap1 /dev/mapper/volumegroup-swap /dev/urandom swap,cipher=aes-cbc-essiv:sha256
(Dus alleen het basale encrypted volume mappen, en niet ook nog eens een encrypted swap volume mappen bovenop het logische volume dat weer bovenop het eerste encrypted volume staat. Dit laatste geeft trouwens ook een foutmelding bij het inloggen.)
test@ubuntu:~$ cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid -o value -s UUID' to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc nodev,noexec,nosuid 0 0
# / was on /dev/sda2 during installation
UUID=5409bde7-1eb6-439f-a3b1-4f9b031ae603 / ext4 errors=remount-ro 0 1
/dev/mapper/volumegroup-tmp /tmp ext4 defaults 0 2
/dev/mapper/volumegroup-var /var ext4 defaults 0 2
#/dev/mapper/volumegroup-swap none swap sw 0 0
/dev/mapper/cryptswap1 none swap sw 0 0
verander dit in:
# /etc/fstab: static file system information.
#
# Use 'blkid -o value -s UUID' to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc nodev,noexec,nosuid 0 0
# / was on /dev/sda2 during installation
UUID=5409bde7-1eb6-439f-a3b1-4f9b031ae603 / ext4 errors=remount-ro 0 1
/dev/mapper/volumegroup-tmp /tmp ext4 defaults 0 2
/dev/mapper/volumegroup-var /var ext4 defaults 0 2
/dev/mapper/volumegroup-swap none swap sw 0 0
#/dev/mapper/cryptswap1 none swap sw 0 0
(Zorg ervoor dat de volumegroup-swap als swap gemount wordt, en niet een versleuteld volume dat weer bovenop deze volumegroep is gezet.)
vervolgens in een terminal:
sudo swapoff -a
sudo mkswap /dev/mapper/volumegroup-swap
sudo mount -a
Er is dan geen dubbele encryptie meer, en ook de foutmelding na het ingeven van de sleutel bij het inloggen verdwijnt.