Зачем шифровать раздел подкачки

Question 1

Я видел на этом сайте, что многие пользователи Linux шифруют раздел подкачки. Каковы преимущества шифрования подкачки?

Question 2

Шифрование пространства подкачки используется для защиты конфиденциальной информации. Рассмотрим приложение, которое имеет дело с паролями. Пока эти пароли остаются в физической памяти, эти пароли не будут записаны на диск и будут удалены после перезагрузки. Если ОС начинает выгружать страницы памяти, чтобы освободить место для других приложений, пароли могут быть записаны на диск в незашифрованном виде. Шифрование пространства подкачки может быть решением для этого сценария.

Разделы подкачки по умолчанию не зашифрованы и должны быть очищены от любых конфиденциальных данных перед продолжением.

Раздел подкачки может содержать много незашифрованной конфиденциальной информации, и тот факт, что он сохраняется после выключения компьютера, может быть проблемой.

Для шифрования SWAP см. Зашифрованный раздел подкачки в Ubuntu

Дополнительное чтение: Шифрование подкачки и Ubuntu - Как зашифровать своп раздел

^{Источник: C. Brüffer}

Question 3

Question 4

По тем же причинам вы хотели бы зашифровать основную память. Программы имеют текстовые копии вашей информации и время от времени планируют их выгружать на диск (раздел подкачки). Если бы кто-то был достаточно мотивирован и включен, своп мог быть добыт для этих личных данных.

Тем не менее, шифрование подкачки не имеет большого значения, если вы не зашифровали свой корневой диск.

шифрование не из дешевых, ожидайте значительного снижения производительности.

Единственные люди, которых я знаю, которые «делают все», много путешествуют. Если вы просто хотите повозиться, сделайте это.

P.S. прежде чем кто-то решит, что не сможет зашифровать основную память, пожалуйста, посетите http://bluerisc.com/ , даже набор инструкций зашифрован.

Question 5

Вот почему давно я убедился в том, что я действительно смог зашифровать мой раздел подкачки.

Попробуйте выполнить следующие команды:
Сначала выясните ваше устройство подкачки, а затем выясните, хранится ли ваш пароль пользователя (или любая критическая для вас строка) где-то в памяти подкачки:

  $ sudo swapon --summary  
  Filename                                Type        ...  
  /dev/mapper/vg_ubu476-lv_swap           partition   ...  

   $ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>

Если пароль не найден, то команда заканчивается без вывода. Это заняло у меня 40 секунд с моим свопом на 4 ГиБ.
Попробуйте это с "| more" вместо "| grep < ...>"; это покажет, если вы очистили свой диск с самого начала, до шифрования, со случайным ASCII или нет.

Остерегайтесь проблемы: после этих команд ваша «подстрока пароля» останется записанной в вашей истории bash, и вы можете почувствовать необходимость стереть ее. С «подстрокой пароля» вы, по крайней мере, не получили полный пароль там ... И: только root может заглянуть внутрь.

Команда «Мои строки» изучила расшифрованный слой системы, который работает только во время работы ОС.

Далее следует LVM, затем расшифрованный контейнер LUKS и, наконец, зашифрованное устройство (большой раздел). Вы можете попробовать отсканировать их все «строками».

Когда я делал эти «строки» в первый раз, я нашел много паролей root, так как вместо sudo su я использовал «su - root». Теперь с sudo я не нахожу ни одного.

Производительность - Поверьте: я работаю с 1,3 терабайтами зашифрованного содержимого (система + база данных больших фотографий) на трех SSD на Thinkpad W520 без каких-либо задержек. Но, по крайней мере, 8 ГиБ памяти могут несколько помочь.

Question 6

Я полагаю, вы говорите о домашнем каталоге или установке полного шифрования диска.

Своп выделяет пространство в постоянном хранилище (потому что это дешевле), обеспечивая больше виртуальной памяти для операционной системы. Все ваши приложения работают в виртуальной памяти, хранящей все незашифрованные данные для операций. Вполне вероятно, что часть данных, которые вы получили на зашифрованном диске, заканчивается в незашифрованном виде в хранилище подкачки. Также временные данные в памяти, такие как ключи шифрования, могут быть перемещены из физической памяти на некоторое время для подкачки (если ядро решит так). С помощью простого ключа шифрования злоумышленник наверняка сможет расшифровать весь ваш жесткий диск.

Более того, своп не стирается после выключения компьютера, в отличие от физической памяти.

Также обратите внимание, что если вы переводите компьютер в спящий режим, вся физическая память будет записана в раздел подкачки. Это обеспечивает еще больший объем данных для возможного злоумышленника.

Подводя итог, можно сказать, что в контексте шифрования данных на вашем компьютере очень плохо не шифровать подкачку, если вы обрабатываете зашифрованные файлы с точки зрения безопасности. Это может даже нарушить полную безопасность, которую вы пытаетесь достичь.

Mitch · Answer 1 · 28 June 2013 в 01:56

Шифрование пространства подкачки используется для защиты конфиденциальной информации. Рассмотрим приложение, которое имеет дело с паролями. Пока эти пароли остаются в физической памяти, эти пароли не будут записаны на диск и будут удалены после перезагрузки. Если ОС начинает выгружать страницы памяти, чтобы освободить место для других приложений, пароли могут быть записаны на диск в незашифрованном виде. Шифрование пространства подкачки может быть решением для этого сценария.

Разделы подкачки по умолчанию не зашифрованы и должны быть очищены от любых конфиденциальных данных перед продолжением.

Раздел подкачки может содержать много незашифрованной конфиденциальной информации, и тот факт, что он сохраняется после выключения компьютера, может быть проблемой.

Для шифрования SWAP см. Зашифрованный раздел подкачки в Ubuntu

Дополнительное чтение: Шифрование подкачки и Ubuntu - Как зашифровать своп раздел

^{Источник: C. Brüffer}

ppetraki · Answer 2 · 28 June 2013 в 01:56

По тем же причинам вы хотели бы зашифровать основную память. Программы имеют текстовые копии вашей информации и время от времени планируют их выгружать на диск (раздел подкачки). Если бы кто-то был достаточно мотивирован и включен, своп мог быть добыт для этих личных данных.

Тем не менее, шифрование подкачки не имеет большого значения, если вы не зашифровали свой корневой диск.

шифрование не из дешевых, ожидайте значительного снижения производительности.

Единственные люди, которых я знаю, которые «делают все», много путешествуют. Если вы просто хотите повозиться, сделайте это.

P.S. прежде чем кто-то решит, что не сможет зашифровать основную память, пожалуйста, посетите http://bluerisc.com/ , даже набор инструкций зашифрован.

prometheos · Answer 3 · 28 June 2013 в 01:56

Вот почему давно я убедился в том, что я действительно смог зашифровать мой раздел подкачки.

Попробуйте выполнить следующие команды:
Сначала выясните ваше устройство подкачки, а затем выясните, хранится ли ваш пароль пользователя (или любая критическая для вас строка) где-то в памяти подкачки:

  $ sudo swapon --summary  
  Filename                                Type        ...  
  /dev/mapper/vg_ubu476-lv_swap           partition   ...  

   $ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>

Если пароль не найден, то команда заканчивается без вывода. Это заняло у меня 40 секунд с моим свопом на 4 ГиБ.
Попробуйте это с "| more" вместо "| grep < ...>"; это покажет, если вы очистили свой диск с самого начала, до шифрования, со случайным ASCII или нет.

Остерегайтесь проблемы: после этих команд ваша «подстрока пароля» останется записанной в вашей истории bash, и вы можете почувствовать необходимость стереть ее. С «подстрокой пароля» вы, по крайней мере, не получили полный пароль там ... И: только root может заглянуть внутрь.

Команда «Мои строки» изучила расшифрованный слой системы, который работает только во время работы ОС.

Далее следует LVM, затем расшифрованный контейнер LUKS и, наконец, зашифрованное устройство (большой раздел). Вы можете попробовать отсканировать их все «строками».

Когда я делал эти «строки» в первый раз, я нашел много паролей root, так как вместо sudo su я использовал «su - root». Теперь с sudo я не нахожу ни одного.

Производительность - Поверьте: я работаю с 1,3 терабайтами зашифрованного содержимого (система + база данных больших фотографий) на трех SSD на Thinkpad W520 без каких-либо задержек. Но, по крайней мере, 8 ГиБ памяти могут несколько помочь.

gertvdijk · Answer 4 · 28 June 2013 в 01:56

Я полагаю, вы говорите о домашнем каталоге или установке полного шифрования диска.

Своп выделяет пространство в постоянном хранилище (потому что это дешевле), обеспечивая больше виртуальной памяти для операционной системы. Все ваши приложения работают в виртуальной памяти, хранящей все незашифрованные данные для операций. Вполне вероятно, что часть данных, которые вы получили на зашифрованном диске, заканчивается в незашифрованном виде в хранилище подкачки. Также временные данные в памяти, такие как ключи шифрования, могут быть перемещены из физической памяти на некоторое время для подкачки (если ядро решит так). С помощью простого ключа шифрования злоумышленник наверняка сможет расшифровать весь ваш жесткий диск.

Более того, своп не стирается после выключения компьютера, в отличие от физической памяти.

Также обратите внимание, что если вы переводите компьютер в спящий режим, вся физическая память будет записана в раздел подкачки. Это обеспечивает еще больший объем данных для возможного злоумышленника.

Подводя итог, можно сказать, что в контексте шифрования данных на вашем компьютере очень плохо не шифровать подкачку, если вы обрабатываете зашифрованные файлы с точки зрения безопасности. Это может даже нарушить полную безопасность, которую вы пытаетесь достичь.

Зачем шифровать раздел подкачки

4 ответа

Другие вопросы по тегам:

Похожие вопросы: