Bu sitede birçok Linux kullanıcısının takas bölümünü şifrelediğini gördüm. Takasın şifrelenmesinin faydaları nelerdir?
Yanıtlar:
Takas alanının şifrelenmesi hassas bilgileri korumak için kullanılır. Parolalarla ilgilenen bir uygulamayı düşünün. Bu şifreler fiziksel bellekte kaldığı sürece, bu şifreler diske yazılmaz ve yeniden başlatıldıktan sonra silinmez. İşletim sistemi, diğer uygulamalarda yer açmak için bellek sayfalarını değiştirmeye başlarsa, şifreler şifrelenmemiş disk plakalarına yazılabilir. Takas alanını şifrelemek bu senaryo için bir çözüm olabilir.
Takas bölümleri varsayılan olarak şifrelenmez ve devam etmeden önce hassas verilerden temizlenmelidir.
Takas bölümü çok sayıda şifrelenmemiş gizli bilgi tutabilir ve bilgisayarı kapattıktan sonra da devam etmesi bir sorun olabilir.
SWAP'ı şifrelemek için bkz . Ubuntu'daki Şifreli takas bölümü
Ekstra Okuma: Swap şifreleme ve Ubuntu - Takas bölümünü şifreleme
Kaynak: C. Brüffer
Bir giriş dizini veya tam disk şifreleme yüklemesinden bahsettiğinizi varsayıyorum.
Takas, işletim sistemine daha fazla sanal bellek sağlayarak kalıcı depolamada (daha ucuz olduğu için) alan ayrılır. Tüm uygulamalarınız, işlemler için şifrelenmemiş tüm verileri tutarak sanal bellekte çalışır. Diskte şifrelenmiş olan verilerin bazı bölümlerinin takas deposunda şifrelenmemiş olarak bitme olasılığı oldukça yüksektir. Ayrıca, şifreleme anahtarları gibi geçici bellek içi öğeler bir süre takas etmek için fiziksel bellekten taşınabilir (çekirdek karar verirse). Basit bir şifreleme anahtarıyla, bir saldırgan tüm sabit sürücünüzün şifresini çözebilir.
Ayrıca, fiziksel bellekten farklı olarak, bilgisayarınızı kapattıktan sonra takas silinmez.
Ayrıca, sisteminizi hazırda bekletirseniz, tüm fiziksel belleğin takas için yazılacağını unutmayın. Bu, olası bir saldırgan için daha da fazla miktarda veri sağlar.
Özetlenebilir, makinenizde verilerin şifrelenmesi bağlamında, çok kötü bir şey olduğunu değil bir güvenlik açısından, şifrelenmiş dosyaları işlemek eğer şifrelemek takas etmek. Hatta elde etmeye çalıştığınız tüm güvenliği bile ihlal edebilir.
Bu yüzden uzun zaman önce takas bölümümü de gerçekten şifrelemeye ikna oldum.
Aşağıdaki komutları deneyin:
Önce takas cihazınızı bulun, ardından kullanıcı şifrenizin (veya sizin için kritik olan herhangi bir dizenin) takas belleğinde bir yerde saklanıp depolanmadığını öğrenin:
$ sudo swapon --summary
Filename Type ...
/dev/mapper/vg_ubu476-lv_swap partition ...
$ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>
Parola bulunmazsa, komut çıktı olmadan biter. Bu benim 4 GiB takasımla 40 saniye sürdü.
Bunu "| grep <...>" yerine "| more" ile deneyin; Bu, diskinizi şifrelemeden önce rastgele ASCII ile sildiyseniz en başından silip silmediğinizi gösterecektir.
Bir soruna dikkat edin: bu komutlardan sonra "şifrenizin alt dizesi" bash geçmişinizde yazılı olarak kalacaktır ve silme gereğini hissedebilirsiniz. "Parola alt dizesi" ile en azından tam parolayı bulamadınız ... Ve: içine sadece root bakabilir.
Dizelerim komutu, yalnızca işletim sistemini çalıştırırken yaşayan sistemin şifresi çözülmüş katmanına baktı.
LVM, daha sonra şifresi çözülmüş LUKS kabı ve son olarak şifrelenmiş cihaz (büyük bir bölüm) var. Hepsini "dizeleri" ile taramayı deneyebilirsiniz.
Bu "dizeleri" ilk yaptığımda "sudo su -" yerine "su - root" kullandığım için çok sayıda root şifresi buldum. Şimdi sudo ile hiç bir şey bulamıyorum.
Performans - İnan bana: Herhangi bir gecikme hissetmeden bir Thinkpad W520 üzerindeki üç SSD'de 1,3 terabayt şifreli malzeme (sistem + büyük fotoğraf veritabanı) ile çalışıyorum. Ancak en az 8 GiB bellek biraz yardımcı olabilir.
Aynı nedenlerle ana belleği şifrelemek istersiniz. Programlar bilgilerinizin açık metin kopyalarına sahiptir ve zamanlayıcı tarafından zamanlayıcı tarafından diske (takas bölümü) değiştirilir. Eğer bir kişi yeterince motive olmuş ve etkinleştirilmişse, o kişisel veriler için takas çıkarılabilir.
Ancak, kök diskinizi şifrelemediyseniz, takasın şifrelenmesi önemli değildir.
şifreleme ucuz değil, önemli bir performans isabet bekliyoruz.
Kimin "hepsini yap" tanıdığım tek millet yoğun seyahat. Sadece tamir etmek istiyorsanız, gidin.
PS, birisi ana belleği şifreleyememe konusunda bir wisecrack yapmadan önce lütfen talimat seti şifrelenmiş olsa bile http://bluerisc.com/ adresini ziyaret edin .