Вопрос или проблема
Мой ноутбук часто перемещается, и я хочу обеспечить его безопасность на случай, если кто-то получит к нему доступ. Одним из шагов является защита своп-раздела, в который может быть сохранена вся память.
Как это сделать с помощью уже встроенных инструментов (т.е. доступных через apt)?
Правка: Как упомянуто в комментариях @guiverc, другим решением будет создание swap-файла на зашифрованном разделе.
Вот шаги, которые я выполнил:
1/ Подготовка
Получите текущий <раздел>, который нужно зашифровать:
sudo swapon --summary
Добавьте необходимые пакеты:
sudo apt install cryptsetup
Отредактируйте файл /etc/crypttab (или создайте его) и добавьте в него следующее содержимое:
# имя раздела ключевые файлы параметры
swap /dev/<раздел> none luks
2/ Поехали:
sudo swapoff /dev/<раздел>
sudo cryptsetup luksFormat /dev/<раздел>
sudo cryptdisks_start swap
sudo mkswap /dev/mapper/swap
sudo swapon --all
Измените файл /etc/fstab, чтобы удалить старый своп и добавить зашифрованный:
# /dev/<раздел или что-то еще> none swap sw 0 0
/dev/mapper/swap none swap
3/ Автоматизация
ЕСЛИ ВАШ КОРНЕВОЙ РАЗДЕЛ УЖЕ ЗАЩИЩЕН, вы можете автоматически монтировать своп с использованием ключевого файла:
sudo mkdir -p /etc/restricted
sudo chmod 0700 /etc/restricted
sudo dd if=/dev/urandom of=/etc/restricted/luks.key bs=4096 count=1
sudo cryptsetup luksAddKey /dev/<раздел> /etc/restricted/swap.key
sudo chown root:root /etc/restricted/swap.key
sudo chmod 400 /etc/restricted/swap.key
В вашем /etc/crypttab вы можете затем использовать ключ:
swap /dev/<раздел> /etc/restricted/swap.key luks
Пожалуйста, защитите ваш ключевой файл, иначе все это было бы ненужно…
Ответ или решение
Для обеспечения безопасности вашего своп-раздела на многосистемном диске после установки, вы можете воспользоваться встроенными инструментами, доступными через пакетный менеджер apt. Ниже приведены пошаговые инструкции по шифрованию своп-раздела с использованием cryptsetup.
Шаг 1: Подготовка
-
Определите текущий раздел для шифрования:
Откройте терминал и выполните команду:sudo swapon --summaryЭто позволит вам увидеть, какой раздел используется в качестве свопа.
-
Установите необходимые пакеты:
Убедитесь, что у вас установленcryptsetup:sudo apt install cryptsetup -
Создайте или отредактируйте файл
/etc/crypttab:
Откройте файл для редактирования (если он не существует, создайте его) и добавьте в него следующую строку:# имя раздела раздел файл ключа параметры swap /dev/<раздел> none luks
Шаг 2: Процесс шифрования
-
Выключите текущий своп:
sudo swapoff /dev/<раздел> -
Зашифруйте раздел:
sudo cryptsetup luksFormat /dev/<раздел> -
Откройте зашифрованный раздел:
sudo cryptdisks_start swap -
Создайте своп на зашифрованном разделе:
sudo mkswap /dev/mapper/swap -
Включите своп:
sudo swapon --all
Шаг 3: Автоматизация
Если ваш корневой раздел уже защищен, вы можете настроить автоматическую монтировку свопа, используя файл ключа:
-
Создайте хранилище для файла ключа:
sudo mkdir -p /etc/restricted sudo chmod 0700 /etc/restricted -
Создайте файл ключа:
sudo dd if=/dev/urandom of=/etc/restricted/luks.key bs=4096 count=1 -
Добавьте ключ к зашифрованному разделу:
sudo cryptsetup luksAddKey /dev/<раздел> /etc/restricted/luks.key -
Настройте разрешения для файла ключа:
sudo chown root:root /etc/restricted/luks.key sudo chmod 400 /etc/restricted/luks.key -
Измените
/etc/crypttab, чтобы использовать ключ:
Отредактируйте файл/etc/crypttab, чтобы использовать созданный файл ключа:swap /dev/<раздел> /etc/restricted/luks.key luks
Важно
Обязательно защитите ваш файл ключа, так как если к нему получит доступ кто-то другой, это сделает шифрование бесполезным. Следите за безопасностью вашего устройства и регулярно проверяйте правильность выполнения всех шагов, чтобы обеспечить надежную защиту ваших данных.