Configurando a troca criptografada no LMDE (debian)

Navegue suas respostas
3

Eu quero usar uma unidade de troca criptografada por uma chave aleatória na inicialização. Não tenho certeza se estou fazendo isso com segurança.

Atualmente tenho o / etc / crypttab com base no exemplo no arch wiki . Ao contrário do artigo deles, recebi o UUID do meu swap do mkswap. Não permitiria que eu colocasse minha troca no espaço não alocado além de uma partição ext2 de 1 MB, como foi mostrado no exemplo do arch wiki. Eu estou um pouco desconfiado do exemplo do arco wiki por causa disso.

Minha criptografia atual é: 

cryptswap UUID=... /dev/urandom swap,cipher=aes-cbc-essiv:sha256,size=256,offset=2048

Esta é a maneira correta de configurar uma troca criptografada? Não tenho certeza de como o comportamento se comporta se ele tentar gravar nos últimos 1 MB da unidade.

Provavelmente vale a pena notar que estou fazendo tudo isso em uma VM para testar, antes de fazer isso no meu hardware.

update:

esta é a mensagem de erro que aparece quando tento usar uma unidade formatada para ext2, fazendo exatamente como mostrado no tutorial em arco: 

    sudo /etc/init.d/cryptdisks reload
[ ok ] Stopping remaining crypto disks...cryptswap (stopped)...done.
[....] Starting remaining crypto disks...[info] cryptswap (starting)...
[....] cryptswap: the precheck for '/dev/disk/by-label/cryptswap' failed: - The [warne /dev/disk/by-label/cryptswap contains a filesystem type ext2. ... (warning).
[FAILswap (failed)...failed.
    
por Bobby Sacamano 20.03.2016 / 19:18

1 resposta

2

Unlike their article, I got my swap's UUID from mkswap.

Essa provavelmente não é uma boa ideia. Se você tiver um cabeçalho de swap não criptografado em um dispositivo e usar o mesmo dispositivo para troca criptografada em 1 MiB offset, se por qualquer motivo ativar ambas as partições de troca, os swaps substituirão os dados uns dos outros como se fossem o mesmo dispositivo. >

Esta ambigüidade não existe com a partição 1MB ext2 - porque o ext2 é limitado a 1MB, mesmo se você usá-lo (montá-lo, escrever para ele, ...) ele ainda seria seguro e não escrever coisas no área usada pelo swap criptografado. A única operação perigosa aqui seria resize2fs .

It wouldn't allow me to put my swap in the unallocated space past a 1MB ext2 partition, as was shown in the arch wiki example.

No final, o Debian e o ArchLinux são diferentes, então sua solução pode não necessariamente funcionar para você. Se for GPT, você provavelmente poderá usar PARTUUID em vez de UUID . Apenas, se você quiser usar a partição para outra coisa, você deve excluir a partição e criar uma nova partição (com um novo PARTUUID ) para que da próxima vez que você reiniciar, ela não seja inadvertidamente formatada novamente como swap ...

Se você quiser ajuda mais específica nesse sentido, talvez você deva elaborar mais sobre mensagens de erro e tal ... Eu estou supondo que no Debian existe um script de filtro que rejeita coisas que parecem sistemas de arquivos para evitar uma situação de perda de dados. Você provavelmente poderia desativá-lo adicionando precheck=/bin/true .

Este cryptswap é realmente perigoso (em termos de formatar o dispositivo errado por acidente), se possível, evitá-lo completamente. Usar criptografia adequada com um cabeçalho LUKS é muito mais seguro, mesmo que isso signifique digitar outra frase secreta.

I'm not sure how offset behaves if it tries to write to the last 1MB of the drive.

Não há problema, offset resulta em um mapeamento de dispositivo menor. Portanto, se você tiver uma partição 1000MiB e usar um mapeamento simples de criptografia com deslocamento 1MiB, o dispositivo de criptografia resultante terá 999MiB de tamanho.

    
por 20.03.2016 / 19:29

Tags

Como faço para encaminhar solicitações da web para minha rede privada, dependendo do domínio na URL? Por que algumas fontes do apt-get-installed estão sendo ignoradas por fc-list, xfontsel, etc?