AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题 / 1498151
Accepted
fghtsu
fghtsu
Asked: 2019-11-02 08:19:45 +0800 CST2019-11-02 08:19:45 +0800 CST 2019-11-02 08:19:45 +0800 CST

全盘加密和使用临时密钥的加密交换

  • 772

当我在我的设备上安装 Debian Buster(带有 4.19 内核)时,我选择了使用全盘加密的引导式分区。

所以当前设置是 LUKS 上的 LVM,并且 /boot 是未加密的:

user@HOST:~$ lsblk -f
NAME               FSTYPE      LABEL UUID                                FSAVAIL FSUSE% MOUNTPOINT
sda
├sda1              ext2              a81YDwjp-q50N-nbZH-JLwr-Djhhe0aDxI6 94,4M      55% /boot
├sda2
└sda5              crypto_LUKS       E5ZYjKug-zrNW-yW4Q-jwFD-MdgSY08zqKo
 └sda5_crypt       LVM2_member       aJTjWXcR-Nxth-LcnV-5tzp-iBzbCU0zy8d
  ├HOST--vg-root   ext4              PHVJaGjc-46vv-u5co-fXxd-NCZJUkzK21Q 129,1G      5% /
  └HOST--vg-swap_1 swap              1XZehc8C-2yKA-Y8Qr-eCc1-EI3ezAgVNBo                [SWAP]

现在最好改进此设置并使用临时密钥加密交换卷。但这是为什么呢?毕竟交换已经加密,因为它驻留在加密的硬盘上。顺便说一句,我不使用休眠。

我想要的是从我系统上的额外加密层中获得尽可能多的好处。例如,我先在本地加密一些数据,然后再将其备份到远程位置。如果完整的硬盘加密被击败,这种加密也可以作为第二道防线......但前提是在这种情况下交换不可读。

从默认的 Debian 配置开始(即无需循环重新安装),有没有办法用临时密钥加密交换?

linux disk-encryption
  • 2 2 个回答
  • 834 Views

2 个回答

  • Voted
  1. K7AAY
    2019-11-02T10:06:52+08:002019-11-02T10:06:52+08:00

    由于您有一个现代(4.19)内核并且不使用休眠,我建议不要使用交换分区,并将交换移动到您的根分区。如果时间允许,您可以将交换分区使用的空间重新分配给根。

    多少空间?https://itsfoss.com/swap-size/有一个根据一些准则和该系统 RAM 的大小计算它的表:

    RAM     Swap Size 
     256MB   256MB   
     512MB   512MB   
     1GB     1GB     
     2GB     1GB     
     3GB     2GB     
     4GB     2GB     
     6GB     2GB      
     8GB     3GB     
     12GB    3GB      
     16GB    4GB     
     24GB    5GB     
     32GB    6GB     
     64GB    8GB     
     128GB   11GB    
    

    指导方针?

    如果您的系统的 RAM 小于 1 GB,则必须使用交换,因为大多数应用程序很快就会耗尽 RAM。

    如果您的系统使用资源密集型应用程序(如视频编辑器),则最好使用一些交换空间,因为您的 RAM 可能会在这里耗尽。

    如果您使用休眠,那么您必须添加交换,因为 RAM 的内容将被写入交换分区。这也意味着交换大小应该至少是 RAM 的大小。

    避免奇怪的事件,例如程序发疯和吃掉 RAM。

    https://linuxize.com/post/how-to-add-swap-space-on-debian-9/有一个 Debian 制作交换文件的分步过程。

    • 1
  2. Best Answer
    fghtsu
    2019-11-05T12:55:25+08:002019-11-05T12:55:25+08:00

    一个简单的写我最终做了什么。如前所述,发行版是 Debian Buster,并且禁用了休眠功能。

    • 可选:禁用交换 (sudo swapoff -a ) 并用零或随机数据覆盖交换卷。这实际上是推荐的,但在我的情况下不是必需的。

    • 创建新的交换文件

      sudo fallocate -l 2G /cryptswap

    • 只有 root 用户应该能够读取交换文件

      sudo chmod 600 /cryptswap

    • 将以下行添加到/etc/crypttab

      cryptswap /cryptswap /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap,noearly
      

      请注意,并非所有发行版都支持noearly选项,但 Debian 肯定支持,而且 Ubuntu 似乎也支持它。

    • 禁用交换安装(在该行前面/etc/fstab添加一个)并粘贴下面的第二行:#

      #/dev/mapper/HOST--vg-swap_1 none swap sw 0 0
      /dev/mapper/cryptswap none swap sw 0 0
      
    • [添加] 禁用从休眠状态恢复。如下更新/etc/initramfs-tools/conf.d/resume,然后运行sudo update-initramfs -u -k all。

      RESUME=none
      
    • 重启

    • 确认一切正常

      请注意,旧的交换卷仍然存在,但不再挂载。

      user@HOST:~$ lsblk -f
      NAME               FSTYPE      LABEL UUID                                FSAVAIL FSUSE% MOUNTPOINT
      loop0                                                                                      
      └cryptswap         swap              32efd8e4-a775-41b8-b717-39dfbff439f                [SWAP]
      sda
      ├sda1              ext2              a81YDwjp-q50N-nbZH-JLwr-Djhhe0aDxI6 94,4M      55% /boot
      ├sda2
      └sda5              crypto_LUKS       E5ZYjKug-zrNW-yW4Q-jwFD-MdgSY08zqKo
       └sda5_crypt       LVM2_member       aJTjWXcR-Nxth-LcnV-5tzp-iBzbCU0zy8d
        ├HOST--vg-root   ext4              PHVJaGjc-46vv-u5co-fXxd-NCZJUkzK21Q 129,1G      5% /
        └HOST--vg-swap_1 swap              1XZehc8C-2yKA-Y8Qr-eCc1-EI3ezAgVNBo
      
      user@HOST:~$ sudo cryptsetup status cryptswap
      /dev/mapper/cryptswap is active and is in use.
        type:    PLAIN
        cipher:  aes-cbc-essiv:sha256
        keysize: 256 bits
        key location: dm-crypt
        device:  /dev/loop0
        loop:    /cryptswap
        sector size:  512
        offset:  0 sectors
        size:    4194304 sectors
        mode:    read/write
      
    • 清理

      删除旧的交换卷。随后您可能想要重新分配可用空间,但我不会在这里介绍。

      sudo lvremove HOST-vg/swap_1

    • 0

相关问题

  • 如何让我的 Linux 机器看起来像是在运行 Windows?

  • 对于 cp 或 mv,是否有等同于 cd - 的东西?

  • 以 root 身份运行 docker 容器

  • 如何在域和 Linux 活动目录中启用指纹传感器

  • 如何在CentOS 7 中将Ctrl+C 永久更改为Ctrl+K?

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    Windows 10 服务称为 AarSvc_70f961。它是什么,我该如何禁用它?

    • 2 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Marko Smith

    ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] 证书验证失败:无法获取本地颁发者证书 (_ssl.c:1056)

    • 4 个回答
  • Marko Smith

    我如何知道 Windows 安装在哪个驱动器上?

    • 6 个回答
  • Martin Hope
    Albin 支持结束后如何激活 WindowsXP? 2019-11-18 03:50:17 +0800 CST
  • Martin Hope
    fixer1234 “HTTPS Everywhere”仍然相关吗? 2019-10-27 18:06:25 +0800 CST
  • Martin Hope
    Kagaratsch Windows 10 删除大量小文件的速度非常慢。有什么办法可以加快速度吗? 2019-09-23 06:05:43 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    Inter Sys Ctrl+C 和 Ctrl+V 是如何工作的? 2019-05-15 02:51:21 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve