Início / computer / Perguntas / 1498151
Accepted
fghtsu
Asked: 2019-11-02 08:19:45 +0800 CST

criptografia de disco completo e troca de criptografia com chaves temporárias

  • 772

Quando instalei o Debian Buster (com um kernel 4.19 padrão) em meu dispositivo, optei pelo particionamento guiado com criptografia de disco completa.

Portanto, a configuração atual é LVM no LUKS e /boot não é criptografado:

user@HOST:~$ lsblk -f
NAME               FSTYPE      LABEL UUID                                FSAVAIL FSUSE% MOUNTPOINT
sda
├sda1              ext2              a81YDwjp-q50N-nbZH-JLwr-Djhhe0aDxI6 94,4M      55% /boot
├sda2
└sda5              crypto_LUKS       E5ZYjKug-zrNW-yW4Q-jwFD-MdgSY08zqKo
 └sda5_crypt       LVM2_member       aJTjWXcR-Nxth-LcnV-5tzp-iBzbCU0zy8d
  ├HOST--vg-root   ext4              PHVJaGjc-46vv-u5co-fXxd-NCZJUkzK21Q 129,1G      5% /
  └HOST--vg-swap_1 swap              1XZehc8C-2yKA-Y8Qr-eCc1-EI3ezAgVNBo                [SWAP]

Agora seria bom evoluir essa configuração e criptografar o volume de troca com uma chave temporária. Mas por que isso? Afinal, a troca já está criptografada, pois reside em um disco rígido criptografado. BTW, eu não uso hibernação.

O que eu gostaria é tirar o máximo proveito possível de camadas adicionais de criptografia em meu sistema. Por exemplo, criptografo alguns dados localmente antes de fazer backup em um local remoto. Essa criptografia também pode servir como uma segunda linha de defesa se a criptografia total do disco rígido for derrotada... mas apenas se a troca não for legível nesse cenário.

A partir da configuração padrão do Debian (ou seja, sem ter que passar pela reinstalação), existe uma maneira de criptografar a troca com chaves temporárias?

linux disk-encryption

2 respostas

  1. Como você tem um kernel moderno (4.19) e não usa hibernação, sugiro ficar sem a partição swap e mover o swap para sua partição raiz. Conforme o tempo permitir, você pode realocar o espaço usado pela partição swap para a raiz.

    Quanto espaço? https://itsfoss.com/swap-size/ tem uma tabela que calcula, com base em algumas orientações e no tamanho da RAM daquele sistema:

    RAM     Swap Size 
 256MB   256MB   
 512MB   512MB   
 1GB     1GB     
 2GB     1GB     
 3GB     2GB     
 4GB     2GB     
 6GB     2GB      
 8GB     3GB     
 12GB    3GB      
 16GB    4GB     
 24GB    5GB     
 32GB    6GB     
 64GB    8GB     
 128GB   11GB

    Diretrizes?

    Se o seu sistema tiver menos de 1 GB de RAM, você deve usar a troca, pois a maioria dos aplicativos esgotaria a RAM em breve.

    Se o seu sistema usa aplicativos com muitos recursos, como editores de vídeo, seria uma boa ideia usar algum espaço de troca, pois sua RAM pode estar esgotada aqui.

    Se você usar hibernação, deverá adicionar swap porque o conteúdo da RAM será gravado na partição swap. Isso também significa que o tamanho da troca deve ser pelo menos o tamanho da RAM.

    Evite eventos estranhos, como um programa enlouquecendo e consumindo RAM.

    https://linuxize.com/post/how-to-add-swap-space-on-debian-9/ tem um processo passo a passo para o Debian criar um arquivo de troca.

    • 1
  2. Best Answer

    Um simples relato do que acabei fazendo. Como mencionado anteriormente, a distribuição é Debian Buster e a hibernação está desativada.

    • Opcional: Desabilite a troca ( sudo swapoff -a) e sobrescreva o volume de troca com zeros ou com dados aleatórios. Isso é realmente recomendado, mas não foi necessário no meu caso.

    • Crie o novo arquivo de troca

      sudo fallocate -l 2G /cryptswap

    • Apenas o usuário root deve ser capaz de ler o arquivo de troca

      sudo chmod 600 /cryptswap

    • Adicione a seguinte linha a/etc/crypttab

      cryptswap /cryptswap /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap,noearly

      Observe que nem todas as distribuições suportam a noearlyopção, mas o Debian certamente suporta, e o Ubuntu parece apoiá-lo também.

    • Desative a montagem de troca /etc/fstab(adicione um #na frente da linha) e cole a segunda linha abaixo:

      #/dev/mapper/HOST--vg-swap_1 none swap sw 0 0
/dev/mapper/cryptswap none swap sw 0 0

    • [ADICIONADO] Desative a retomada da hibernação. Atualize /etc/initramfs-tools/conf.d/resumecomo abaixo e execute sudo update-initramfs -u -k alldepois.

      RESUME=none

    • Reinício

    • Confirme se tudo funciona como deveria

      Observe que o antigo volume de troca ainda existe, mas não está mais montado.

      user@HOST:~$ lsblk -f
NAME               FSTYPE      LABEL UUID                                FSAVAIL FSUSE% MOUNTPOINT
loop0                                                                                      
└cryptswap         swap              32efd8e4-a775-41b8-b717-39dfbff439f                [SWAP]
sda
├sda1              ext2              a81YDwjp-q50N-nbZH-JLwr-Djhhe0aDxI6 94,4M      55% /boot
├sda2
└sda5              crypto_LUKS       E5ZYjKug-zrNW-yW4Q-jwFD-MdgSY08zqKo
 └sda5_crypt       LVM2_member       aJTjWXcR-Nxth-LcnV-5tzp-iBzbCU0zy8d
  ├HOST--vg-root   ext4              PHVJaGjc-46vv-u5co-fXxd-NCZJUkzK21Q 129,1G      5% /
  └HOST--vg-swap_1 swap              1XZehc8C-2yKA-Y8Qr-eCc1-EI3ezAgVNBo

      user@HOST:~$ sudo cryptsetup status cryptswap
/dev/mapper/cryptswap is active and is in use.
  type:    PLAIN
  cipher:  aes-cbc-essiv:sha256
  keysize: 256 bits
  key location: dm-crypt
  device:  /dev/loop0
  loop:    /cryptswap
  sector size:  512
  offset:  0 sectors
  size:    4194304 sectors
  mode:    read/write

    • Limpar

      Remova o volume de troca antigo. Posteriormente, você pode querer reatribuir o espaço livre, mas não abordarei isso aqui.

      sudo lvremove HOST-vg/swap_1

    • 0

relate perguntas