Điều hợp lý là nếu bạn có bất kỳ loại mã hóa thiết bị khối nào được triển khai trên hệ thống GNU / Linux của bạn, để mã hóa phân vùng trao đổi của bạn, vì mọi dữ liệu được giải mã có thể được ghi bằng văn bản rõ ràng bất cứ lúc nào để trao đổi.
Nhìn vào trang man debian cho "crypttab" tôi thấy một ví dụ về việc tạo phân vùng trao đổi khóa ngẫu nhiên khi khởi động, do đó, khóa được đặt ngẫu nhiên khi tiến hành khởi động và chỉ được biết đến với hệ thống:
# Encrypted swap device
cswap /dev/sda6 /dev/urandom cipher=aes-cbc-essiv:sha256,hash=ripemd160,size=256,swap
Trong ví dụ này, thiết bị trao đổi được gọi bằng một đường dẫn dev thông thường tức là /dev/sda6
Đường dẫn thiết bị tuyệt đối có thể thay đổi và được gán lại khi khởi động nếu, ví dụ, ổ USB được cắm vào. Một người dùng sẽ rất không hài lòng nếu /dev/sda6
tình cờ là một phân vùng khác so với dự kiến và sau đó nó đã bị ghi đè bằng dữ liệu trao đổi ngẫu nhiên !!
Vì vậy, giải pháp có vẻ là: sử dụng UUID thay vì đường dẫn thiết bị (vì UUID không nên thay đổi), thay thế /dev/sda6
bằng/dev/disk/by-uuid/<whatever the uuid of dev/sda6 is>
NHƯNG ... đây là vấn đề: Mỗi lần cryptsetup tạo lại phân vùng trao đổi được mã hóa khi khởi động, nó sẽ tạo ra một UUID mới cho nó! Đừng!
Vì vậy, chúng ta cần bảo tồn UUID của hệ thống tệp được mã hóa này bằng cách nào đó. Tôi nghĩ cryptsetup có thể làm điều này với công --offset
tắc của nó , cho phép duy trì tiêu đề LUKS và do đó là UUID.
Tôi đã tìm thấy URL này: https://wiki.archlinux.org/index.php/System_Encoding_with_LUKS#Using_UUIDs_with_encrypted_swap_partitions
Có ai biết cách triển khai giải pháp được mô tả cho Arch Linux trên hệ điều hành Debian không? Các tập lệnh init được đề cập trong tài liệu dường như không tồn tại trên Hệ điều hành Debian
Cảm ơn!
EDIT
One có thể sử dụng ecryptfs để đạt được cùng một kết thúc (không gian hoán đổi được mã hóa) bằng cách sử dụng lệnh:
ecryptfs-setup-swap
Không có vấn đề bao vây mã hóa thiết bị. Hãy xem truy vấn AskUbfox này
ecryptfs-setup-swap
chỉ là một người trợ giúp cấu hìnhdm-crypt
/crypttab
cho bạn. Làecryptfs
một trình điều khiển cấp tệp, nó không xử lý toàn bộ các phân vùng, do đó, trang trại này tắtdm-crypt
. Bạn có thể thấy phương pháp này thân thiện hơn với người dùng, nhưng cuối cùng bạn không đạt được điều gì khác biệt. Nếu bất cứ điều gì, những khuyết tật của phương pháp này (bao gồm cả UUID) có thể khiến tôi nhiều bối rối hơn nếu tôi vừa làm được điều đó bản thân mình từ nguyên tắc đầu tiên ... mặc dù tôi học được nhiều hơn nữa.