Как я могу защитить незашифрованную подкачку parition?
Очевидно это - проблема, и вероятно она имеет решение, которое могло бы быть:
- Это не требуется потому что...
- Это непрактично потому что... [2 пароля на приостанавливают, например]
- О. Да, мы зафиксировали это в версии XYZ. Сделайте Q, и он будет хорошо работать.
- Вы политы из шланга, если Вы не можете записать C++ и можете кодировать его сами.
Рассматриваемым диском является SSD.
По моему скромному мнению, Приостановите, что-то, что современные компьютеры могут сделать. То, что я не понимаю, - то, почему Полное шифрование диска не является полным диском. Это походит на ошибку.
2 ответа
Шифрование подкачки обычно не делается из-за времени, требуемого зашифровать записи и дешифровать чтения - подкачка, по ее характеру, должна быть максимально быстро, потому что область подкачки более или менее помогает для RAM, для которой Вы не можете позволить себе или не имеете слотов.
Я указал бы, однако, что, если кто-то вытаскивает данные из Вашего раздела подкачки, Ваш компьютер уже полностью захвачен - любой, который взломщик в консоли и перезагрузил к другой ОС (от карты с интерфейсом USB, возможно), или они получили полный контроль над Вашей системой удаленно и, по крайней мере, демонтировали подкачку для применения доступа для чтения-записи.
То есть, если безопасность раздела подкачки имеет значение, безопасность раздела подкачки, вероятно, не имеет значения, потому что взломщик pwns все в Вашей системе так или иначе - даже если они не могут украсть Вас "целый диск, зашифровал" устройство хранения данных, они могут держать его в заложниках или установить программное обеспечение, которое будет копировать и передавать каждое чтение и запись в незашифрованной форме.
В то время как существуют причины не зашифровать подкачку, я также утверждал бы, что существуют причины, человек мог бы хотеть. Сжатие безопасности (физический или цифровой) всегда ограничивает и замедляет доступ. Это не причина избежать данных мер безопасности. Как указано в другом ответе, когда RAM полна, это желательно та работа подкачки как можно быстрее.
Однако если характер, который может находиться в подкачке, является достаточно деликатным могут быть случаи, в которых может быть выровнен по ширине компромисс производительности. По умолчанию установщик человечности (я проверил 18.04, и 16.04) создает раздел подкачки в LUKS-зашифрованном, раздел LVM2 при выборе FDE во время установки. Следовательно, подкачка шифруется.
Если по некоторым причинам, Ваш раздел подкачки не шифруется, можно все еще зашифровать его. Если Вы используете LVM, и разделом LVM уже является зашифрованный LUKS, Вы могли просто изменить размер файловых систем в LVM, чтобы сделать пространство для подкачки и затем создать логический том для подкачки. Изменение размеров файловых систем, возможно, должно быть сделано от загрузочного USB. Обновите Ваш /etc/fstab файл и Вы сделаны.
Если Вы хотите зашифровать существующий незашифрованный раздел подкачки, который также возможен, но берет немного больше работы. Я перечислю общие шаги.
- В то время как загружено в Вашу систему,
swapoffВаш раздел подкачки. - Использовать
cryptsetup luksFormat ...зашифровать бывший раздел подкачки. - Генерируйте файл ключей, чтобы использовать для дешифрования и добавить его как ключ расшифровки.
- Дешифруйте раздел LUKS, который Вы просто настраиваете.
- выполненный
mkswapна дешифрованном разделе. - Дополнительно удалите пароль, который Вы использовали при установке шифрования LUKS.
- Сохраните свой файл ключей как
/root/keyfile - Обновите Ваш
/etc/crypttabфайл для включения записи, которая дешифрует раздел подкачки с помощью файла ключей,/root/keyfile. - обновите Ваш
/etc/fstabфайл для монтирования зашифрованной подкачки (необходимо получить UUID дешифрованного раздела подкачки.) - Выполненный
sudo update-initramfs -k all -cвоссоздать Ваши загрузочные файлы - Наконец, выполненный
sudo update-grub
Теперь подкачка шифруется. Когда Вы загрузитесь, Вы вставите пароль для дешифрования /. С дешифрованным корнем, /root/keyfile может использоваться системой для автоматического дешифрования раздела подкачки.
Существует большая рецензия здесь о шифровании нескольких разделов с единственным паролем. Так как Вы только пытаетесь зашифровать раздел подкачки, можно сделать это, в то время как загружено в установленную систему.