Tôi đã thấy trên trang web này rằng nhiều người dùng Linux mã hóa phân vùng trao đổi. Lợi ích của việc mã hóa trao đổi là gì?
Câu trả lời:
Mã hóa không gian hoán đổi được sử dụng để bảo vệ thông tin nhạy cảm. Hãy xem xét một ứng dụng liên quan đến mật khẩu. Miễn là các mật khẩu này nằm trong bộ nhớ vật lý, các mật khẩu này sẽ không được ghi vào đĩa và bị xóa sau khi khởi động lại. Nếu HĐH bắt đầu hoán đổi các trang bộ nhớ thành không gian trống cho các ứng dụng khác, mật khẩu có thể được ghi vào đĩa platters không được mã hóa. Mã hóa không gian hoán đổi có thể là một giải pháp cho kịch bản này.
Các phân vùng hoán đổi không được mã hóa theo mặc định và cần được xóa mọi dữ liệu nhạy cảm trước khi tiếp tục.
Phân vùng trao đổi có thể chứa nhiều thông tin bí mật không được mã hóa và thực tế là nó vẫn tồn tại sau khi tắt máy tính có thể là một vấn đề.
Để mã hóa SWAP, hãy xem phân vùng trao đổi được mã hóa trên Ubuntu
Đọc thêm: Hoán đổi mã hóa và Ubuntu - Cách mã hóa phân vùng trao đổi
Nguồn: C. Brüffer
Tôi giả sử bạn đang nói về một thư mục nhà hoặc cài đặt mã hóa toàn bộ đĩa.
Hoán đổi được phân bổ không gian trên bộ nhớ liên tục (vì nó rẻ hơn), cung cấp thêm bộ nhớ ảo cho hệ điều hành. Tất cả các ứng dụng của bạn chạy trong bộ nhớ ảo chứa tất cả dữ liệu không được mã hóa cho các hoạt động. Cơ hội khá cao khi các phần dữ liệu bạn nhận được trên mã hóa kết thúc không được mã hóa trên bộ lưu trữ trao đổi. Ngoài ra, những thứ trong bộ nhớ tạm thời như khóa mã hóa có thể được chuyển từ bộ nhớ vật lý sang trao đổi trong một thời gian (nếu hạt nhân quyết định như vậy). Với khóa mã hóa đơn giản, kẻ tấn công chắc chắn có thể giải mã toàn bộ ổ cứng của bạn.
Ngoài ra, trao đổi không bị xóa sau khi bạn tắt PC, không giống như bộ nhớ vật lý.
Cũng lưu ý rằng nếu bạn ngủ đông hệ thống của mình, tất cả bộ nhớ vật lý sẽ được ghi để trao đổi. Điều này cung cấp một lượng dữ liệu thậm chí còn lớn hơn cho một kẻ tấn công có thể.
Tóm tắt, trong bối cảnh mã hóa dữ liệu trên máy của bạn, sẽ rất tệ nếu không mã hóa trao đổi nếu bạn xử lý các tệp được mã hóa, từ quan điểm bảo mật. Nó thậm chí có thể vi phạm bảo mật hoàn toàn mà bạn đang cố gắng đạt được.
Đây là lý do tại sao từ lâu tôi đã bị thuyết phục để thực sự mã hóa phân vùng trao đổi của mình.
Hãy thử các lệnh sau:
Trước tiên hãy tìm hiểu thiết bị trao đổi của bạn, sau đó tìm hiểu xem mật khẩu người dùng của bạn (hoặc bất kỳ chuỗi quan trọng nào đối với bạn) được lưu trữ ở đâu đó trên bộ nhớ trao đổi:
$ sudo swapon --summary
Filename Type ...
/dev/mapper/vg_ubu476-lv_swap partition ...
$ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>
Nếu không tìm thấy mật khẩu, thì lệnh kết thúc không có đầu ra. Mất 40 giây với tôi, với 4 GiB trao đổi.
Hãy thử điều đó với "| more" thay vì "| grep <...>"; điều đó sẽ hiển thị nếu bạn đã xóa đĩa ngay từ đầu, trước khi mã hóa, với ASCII ngẫu nhiên hay không.
Cảnh giác với một vấn đề: sau khi các lệnh đó, "chuỗi con của mật khẩu" của bạn sẽ được ghi lại trong lịch sử bash của bạn và bạn có thể cảm thấy cần phải xóa nó. Với "chuỗi con của mật khẩu", bạn ít nhất không có mật khẩu đầy đủ ở đó ... Và: chỉ có root mới có thể nhìn vào bên trong nó.
Lệnh chuỗi của tôi đã xem xét lớp giải mã của hệ thống, chỉ tồn tại trong khi chạy HĐH.
Bước bên dưới có LVM, sau đó là thùng chứa LUKS được giải mã và cuối cùng là thiết bị được mã hóa (một phân vùng lớn). Bạn có thể thử và quét tất cả chúng bằng "chuỗi".
Khi tôi thực hiện "chuỗi" đó lần đầu tiên tôi đã tìm thấy rất nhiều mật khẩu gốc, vì tôi đang sử dụng "su - root" thay cho "sudo su -". Bây giờ, với sudo tôi không tìm thấy bất kỳ.
Hiệu suất - Hãy tin tôi: Tôi đang làm việc với 1,3 terabyte công cụ được mã hóa (hệ thống + cơ sở dữ liệu ảnh lớn) trên ba ổ SSD trên Thinkpad W520 mà không có bất kỳ sự chậm trễ nào. Nhưng ít nhất 8 bộ nhớ GiB có thể giúp ích phần nào.
Vì những lý do tương tự, bạn sẽ muốn mã hóa bộ nhớ chính. Các chương trình có các bản sao văn bản rõ ràng về thông tin của bạn và chúng được hoán đổi ra đĩa (phân vùng trao đổi) theo thời gian. Nếu một người có đủ động lực và kích hoạt, trao đổi có thể được khai thác cho dữ liệu cá nhân đó.
Tuy nhiên, mã hóa trao đổi không quan trọng lắm nếu bạn chưa mã hóa đĩa gốc.
mã hóa không phải là giá rẻ, mong đợi một hiệu suất đáng kể.
Những người duy nhất tôi biết là người "làm tất cả" đi du lịch rộng rãi. Nếu bạn chỉ muốn tinker, đi cho nó.
PS trước khi ai đó đưa ra thông báo về việc không thể mã hóa bộ nhớ chính, vui lòng truy cập http://bluerisc.com/ , ngay cả bộ hướng dẫn cũng được mã hóa.