Зачем шифровать раздел подкачки

Я предполагаю, что вы говорите о домашнем каталоге или установке полного диска.

Swap выделяется пространство на постоянном хранилище (потому что оно дешевле), обеспечивая большую виртуальную память для операционной системы. Все ваши приложения запускаются в виртуальной памяти, где хранятся все незашифрованные данные для операций. Шансы довольно высокие, что части данных, которые вы получили на зашифрованном диске, заканчиваются незашифрованными в хранилище подкачки. Кроме того, временные файлы в памяти, такие как ключи шифрования, могут быть перемещены из физической памяти для замены в течение некоторого времени (если это так решит ядро). С помощью простого ключа шифрования злоумышленник может дешифровать весь ваш жесткий диск.

Кроме того, swap не очищается после выключения вашего компьютера, в отличие от физической памяти.

[d4 ] Также обратите внимание, что если вы перейдете в спячку своей системы, вся физическая память будет записана для обмена. Это дает еще больший объем данных для возможного злоумышленника.

Подводя итог, в контексте шифрования данных на вашем компьютере это очень плохо. Предполагаю, что вы говорите о домашний каталог или полное шифрование диска. для шифрования свопа, если вы обрабатываете зашифрованные файлы с точки зрения безопасности. Это может даже нарушить полную безопасность, которую вы пытаетесь достичь.

По тем же причинам вы хотели бы зашифровать основную память. Программы имеют четкие текстовые копии вашей информации, и они время от времени меняются на диск (раздел подкачки) планировщиком.

Однако шифрование подкачки не имеет большого значения, если вы не зашифровали свой корневой диск.

шифрование не дешево, ожидайте значительного повышения производительности.

Единственные люди, которых я знаю, кто «все это», путешествуют широко. Если вы просто хотите возиться, пойдите для этого.

P.S. прежде чем кто-то сделает wisecrack о невозможности шифрования основной памяти, посетите http://bluerisc.com/, даже набор команд зашифрован.

Вот почему давно я убедился, что действительно шифрую и мой раздел подкачки.

Попробуйте выполнить следующие команды: сначала узнайте свое устройство подкачки, затем узнайте, где ваш пароль пользователя (или любая строковая критическая для вас) хранится где-то в памяти подкачки:

  $ sudo swapon --summary  
  Filename                                Type        ...  
  /dev/mapper/vg_ubu476-lv_swap           partition   ...  

   $ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>

Если пароль не найден, команда заканчивается без вывода. Это заняло 40 секунд для меня, с моими 4 гигабайтами свопа. Попробуйте это с «| more» вместо «| grep & lt; ...>»; что будет показано, если вы вытерли свой диск с самого начала, до шифрования, со случайным ASCII или нет.

Вот почему я давно понял, что действительно зашифровал также мой раздел подкачки. после этих команд ваша «подстрока вашего пароля» останется в вашей истории bash и вы можете почувствовать необходимость стереть его. С помощью «подстроки пароля» у вас, по крайней мере, нет полного пароля ... И: только внутри него может зависеть только root.

Команда моих строк просмотрела расшифрованный слой системы, который живет только во время работы ОС.

Шаг ниже, что есть LVM, затем расшифрованный контейнер LUKS и, наконец, зашифрованное устройство (большой раздел). Вы можете попробовать и отсканировать их все с помощью «строк».

Когда я сделал эти «строки», первый раз, когда я нашел много корневых паролей, поскольку я использовал «su-root» вместо слова «su-root», sudo su - ". Теперь, с sudo я не нахожу.

Производительность - Поразите меня: я работаю с 1,3 терабайтами зашифрованного материала (система + большая база данных фотографий) на трех SSD-устройствах на Thinkpad W520 без каких-либо задержек. Но, по крайней мере, 8 GiB-памяти могут несколько помочь.