Я бачив на цьому сайті, що багато користувачів Linux шифрують розділ swap. Які переваги шифрування свопом?
Відповіді:
Шифрування простору своп використовується для захисту конфіденційної інформації. Розгляньте програму, яка займається паролями. Поки ці паролі залишаються у фізичній пам'яті, ці паролі не записуються на диск і не будуть очищені після перезавантаження. Якщо ОС почне замінювати сторінки пам'яті, щоб звільнити місце для інших програм, паролі можуть бути записані на дискові пластини незашифрованими. Шифрування простору підкачки може бути рішенням цього сценарію.
Розмінні розділи не шифруються за замовчуванням, і їх слід очистити від будь-яких конфіденційних даних перед продовженням.
Розділ swap може містити багато незашифрованої конфіденційної інформації, і факт, що він зберігається після вимкнення комп'ютера, може бути проблемою.
Щоб зашифрувати SWAP, див. Зашифрований розділ swap на Ubuntu
Додаткове читання: Swap-шифрування та Ubuntu - Як зашифрувати розділ swap
Джерело: С. Брюффер
Я припускаю, що ви говорите про домашній каталог або про повне встановлення диска.
Swap виділяється місце на постійне зберігання (адже це дешевше), забезпечуючи більшу кількість віртуальної пам’яті операційній системі. Усі ваші програми працюють у віртуальній пам'яті, де зберігаються всі незашифровані дані для операцій. Швидше за все, що частина отриманих вами даних, зашифрованих на диску, закінчується незашифрованою на сховищі своп. Також тимчасові речі в пам'яті, такі як ключі шифрування, можуть бути переміщені з фізичної пам'яті на певний час (якщо ядро вирішить). За допомогою простого ключа шифрування зловмисник напевно може розшифрувати весь ваш жорсткий диск.
Крім того, своп не стирається після вимкнення ПК, на відміну від фізичної пам'яті.
Також зауважте, що якщо ви перебуваєте в сплячому режимі системи, вся фізична пам'ять буде записана на обмін. Це забезпечує ще більший обсяг даних для можливого зловмисника.
Підсумовуючи, в контексті шифрування даних на вашому пристрої дуже погано не шифрувати своп, якщо ви обробляєте зашифровані файли, з точки зору безпеки. Це навіть може порушити повну безпеку, яку ви намагаєтеся досягти.
Ось чому я давно переконався, що дійсно шифрує також мій розділ swap.
Спробуйте
виконати наступні команди: Спершу знайдіть свій замінний пристрій, а потім з’ясуйте, чи зберігається ваш пароль користувача (або будь-який критичний для вас рядок) десь у пам'яті своп:
$ sudo swapon --summary
Filename Type ...
/dev/mapper/vg_ubu476-lv_swap partition ...
$ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>
Якщо пароль не знайдено, команда закінчується без виводу. На це пішло 40 секунд, мій обмін 4 Гб.
Спробуйте це з "| more" замість "| grep <...>"; це покаже, чи ви стирали диск з самого початку, перед шифруванням, випадковим ASCII чи ні.
Остерігайтеся проблеми: після цих команд ваша "підстрочка вашого пароля" залишиться записаною у вашій історії баш, і ви можете відчути необхідність її стерти. З "підрядкою пароля" ви принаймні не отримали там повного пароля ... І: всередині нього може зазирнути лише корінь.
Команда моїх рядків заглянула в розшифрований шар системи, який живе лише під час роботи ОС.
Переходячи під це LVM, потім розшифрований контейнер LUKS і, нарешті, зашифрований пристрій (велика секція). Ви можете спробувати сканувати їх усі "рядками".
Коли я робив це "рядки" вперше, я знайшов багато паролів root, оскільки використовував "su - root" замість "sudo su -". Зараз із судо я не знаходжу жодного.
Продуктивність - Повірте: я працюю з 1,3 терабайтами зашифрованих речей (система + велика база даних фотографій) на трьох SSD на Thinkpad W520, не відчуваючи затримок. Але принаймні 8 Гб пам'яті можуть дещо допомогти.
З тих же причин ви хочете зашифрувати основну пам'ять. У програмах є чіткі текстові копії вашої інформації, і вони час від часу перекладаються на диск (своп-розділ) планувальником. Якщо одного з них було достатньо мотивовано та включено, можна змінити своп для цих персональних даних.
Однак шифрування свопом не має великого значення, якщо ви не зашифрували свій кореневий диск.
шифрування недешеве, очікуйте значного успіху в продуктивності.
Єдині люди, яких я знаю, хто "все це роблять" багато подорожують. Якщо ви просто хочете повозитися, займіться цим.
PS перед тим, як хтось зробить розумний удар про неможливість шифрування основної пам’яті, відвідайте веб-сайт http://bluerisc.com/ , навіть набір інструкцій зашифрований.