显然这是一个问题,并且可能有一个解决方案,可能是:
- 这不是必需的,因为...
- 这是不切实际的,因为... [暂停时的 2 个密码,例如]
- 哦。是的,我们在 XYZ 版本中修复了这个问题。做Q,它会正常工作。
- 除非您可以编写 C++ 并且可以自己编写代码,否则您会感到厌烦。
有问题的驱动器是SSD。
恕我直言,暂停是现代计算机可以做的事情。我不明白为什么全盘加密不是全盘。这似乎是一个错误。
AskOverflow.Dev
交换的加密通常不进行,因为加密写入和解密读取需要时间——交换,就其性质而言,需要尽可能快,因为交换空间或多或少地代表 RAM,你不能负担得起或没有插槽。
但是,我要指出,如果有人从您的交换分区中提取数据,那么您的计算机已经完全受到威胁——攻击者要么在控制台并重新启动到另一个操作系统(可能是从 USB 记忆棒),要么他们'已经远程完全控制了您的系统,并且至少卸载了交换以应用读写访问权限。
也就是说,如果交换分区的安全很重要,那么交换分区的安全可能就无关紧要了,因为攻击者无论如何都会 pwn 你系统上的所有东西——即使他们不能窃取你的“全盘加密”存储,他们也可以持有它人质,或安装以未加密形式复制和传输每次读取和写入的软件。
虽然有理由不加密交换,但我也认为人们可能想要这样做是有原因的。加强安全性(物理或数字)总是会限制和减慢访问速度。这不是避免给定安全措施的理由。正如另一个答案中所指出的,当 RAM 已满时,希望交换尽快工作。
话虽如此,如果可能驻留在交换中的内容足够敏感,那么在某些情况下,性能权衡可能是合理的。默认情况下,ubuntu 安装程序(我检查了 18.04 和 16.04)在安装期间选择 FDE 时在 LUKS 加密的 LVM2 分区中创建交换分区。因此,交换是加密的。
如果由于某种原因,您的交换分区未加密,您仍然可以对其进行加密。如果您使用的是 LVM,并且 LVM 分区已经被 LUKS 加密,您可以简单地调整 LVM 中的文件系统的大小,为交换腾出空间,然后为交换创建一个逻辑卷。文件系统的大小调整可能需要从可引导的 USB 完成。更新你的
/etc/fstab文件,你就完成了。如果您想加密现有的未加密交换分区,这也是可能的,但需要更多的工作。我将列出一般步骤。
swapoff您的交换分区。cryptsetup luksFormat ...加密以前的交换分区。mkswap在解密的分区上运行。/root/keyfile/etc/crypttab文件以包含使用密钥文件解密交换分区的条目,/root/keyfile./etc/fstab文件以挂载加密交换(您需要获取解密交换分区的 UUID。)sudo update-initramfs -k all -c以重新创建引导文件sudo update-grub现在交换已加密。当你启动时,你会输入密码来解密
/。根解密后,/root/keyfile系统可以使用它来自动解密您的交换分区。这里有一篇关于使用单个密码加密多个分区的精彩文章。由于您只是尝试加密交换分区,因此您可以在引导到已安装的系统时执行此操作。