Masuk akal jika Anda memiliki enkripsi perangkat blok apa pun yang diterapkan pada sistem GNU / Linux Anda, untuk mengenkripsi partisi swap Anda juga, karena setiap data yang didekripsi dapat ditulis dalam cleartext kapan saja untuk swap.
Melihat halaman manual debian untuk "crypttab" Saya melihat contoh membuat partisi swap yang dikunci secara acak pada saat boot-up, jadi kunci tersebut diatur secara acak ketika boot berlangsung dan hanya diketahui oleh sistem itu sendiri:
# Encrypted swap device
cswap /dev/sda6 /dev/urandom cipher=aes-cbc-essiv:sha256,hash=ripemd160,size=256,swap
Dalam contoh ini perangkat swap disebut oleh jalur dev konvensional yaitu /dev/sda6
Jalur perangkat absolut dapat berubah dan ditugaskan kembali saat boot-up jika, katakanlah usb drive dicolokkan, misalnya. Seorang pengguna akan sangat tidak senang jika /dev/sda6
terjadi partisi yang berbeda dari yang diharapkan dan kemudian ditimpa dengan data swap acak !!
Jadi solusinya adalah: gunakan UUID sebagai ganti jalur perangkat (karena UUID tidak boleh berubah), ganti /dev/sda6
dengan/dev/disk/by-uuid/<whatever the uuid of dev/sda6 is>
TAPI ... inilah masalahnya: Setiap kali cryptsetup membuat ulang partisi swap terenkripsi pada saat boot, ia menghasilkan UUID baru untuk itu! Doh!
Jadi kita perlu melestarikan UUID dari sistem file terenkripsi ini entah bagaimana. Saya pikir cryptsetup dapat melakukan ini dengan --offset
saklarnya, memungkinkan untuk pelestarian header LUKS dan dengan demikian UUID.
Saya telah menemukan URL ini: https://wiki.archlinux.org/index.php/System_Encryption_with_LUKS#Using_UUIDs_with_encrypted_swap_partitions
Adakah yang tahu bagaimana menerapkan solusi yang dijelaskan untuk Arch Linux pada OS Debian? Skrip init yang dirujuk dalam dokumen tampaknya tidak ada di OS Debian
Terima kasih!
EDIT
One dapat menggunakan ecryptfs untuk mencapai tujuan yang sama (ruang swap terenkripsi) menggunakan perintah:
ecryptfs-setup-swap
Tanpa masalah yang menimpa blokir enkripsi perangkat. Silahkan lihat pada permintaan AskUbuntu ini
ecryptfs-setup-swap
itu hanya penolong yang mengkonfigurasidm-crypt
/crypttab
untuk Anda. Seperti halnyaecryptfs
driver tingkat file, itu tidak menangani seluruh partisi, jadi itu membuat off untuk itudm-crypt
. Anda mungkin menemukan metode ini lebih ramah pengguna, tetapi Anda pada akhirnya tidak mencapai hal yang berbeda. Jika ada, kebiasaan metode ini (termasuk UUID) mungkin membuat saya lebih bingung daripada jika saya melakukannya sendiri dari prinsip pertama ... meskipun saya belajar lebih banyak.