Linuxin Swap -osion salaus

Viestiketju Linux -keskustelu -osiossa. Ketjun avasi kaimaani8 10.06.2006.

  1. kaimaani8

    kaimaani8 Member

    Liittynyt:
    11.05.2006
    Viestejä:
    8
    Kiitokset:
    0
    Pisteet:
    11
    Mites Linuxin swap -osio kryptataan, siihen lienee ihan valmis paketti, mutta kun ei osaa vielä kaikkea (hakea)...

    Että miks? Siks koska kaikkea urkitaan nykypäivänä.
    Ja kohta lähes entisenä winu-käyttäjänä tulin paranoidiksi ;=)
     
  2.  
  3. Ysf

    Ysf Active member

    Liittynyt:
    02.10.2005
    Viestejä:
    1,954
    Kiitokset:
    1
    Pisteet:
    68
    Samalla tavalla kai kun normaalit osiot? en ole kyllä varma koska swapin "partition id", eli vapaasti suomennettuna "osion tyyppi", on eri kuin normaalin linux osion.. yritä googlettaa valmista pakettia - minä vähän epäilen, että semmoista ei löydy.

    Teoriassa homma edellytttää sitä että se ohjelmanpätkä, joka käsittelee sitä kryptausta pitää ladata ennen kuin swappi otetaan käyttöön.. Voisi samalla olettaa että tuolle kryptausohjelmalle pitää renicellä vetää swappia alempi prioriteetti jotta kryptaus/dekryptaus saa enemmän prosessoriaikaa swappitoiminto. Tämä ihan vain linux-vehkeen suorituskyvyn takia.

    Sitten voi joutua muokkailemaan monia muitakin asioita, joita minulla näin äkkiseltään ei tule mieleen.. En todellakaan tiedä varmasti miten tuo hoituu, tuskin täällä kukaan tietää ja voi vain arvailla että miten sen voisi toteuttaa parhaiten - siten että se vaikuttaisi mahdollisimman vähän (huonontavasti) linuxin suorituskykyyn.

    Jos googlella löydät ratkaisun, pasteta linkki tänne :)



     
    Viimeksi muokattu: 10.06.2006
  4. Sakarias

    Sakarias Active member

    Liittynyt:
    26.10.2004
    Viestejä:
    1,806
    Kiitokset:
    12
    Pisteet:
    68
    Onko tuohon tarvetta? eikös /home /tmp ja selaimen historia ym ole niitä ekaksi luettavia... Ei ole tullut mieleen että swappia ryhtyisi kaivelemaan. Jos kyseessä on kotikone voi sammutuksen yhteyteen lisätä scriptin joka kirjoittaa swap-levyn vaikka täyteen nollaa...siihen käy hyvin dd. Tuo voi tuoda lisää turvallisuuden tunnetta. Itseasiassa en tiedä miten swap-levy otetaan käyttöön ja poistetaan käytöstä. Itse jaan samaa swap osiota kahden eri linux systeemin välilä ilman ongelmia.

    Erikseen on sitten vielä nämä swapit, jolloin muisti talletetaan levylle "lepotilassa". Eipä ole itsellä käytössä.

    Ja jos muistia siinä giga ei swap-levyä juuri käytetä.

    Oletko koskaan lukenut swap osiota uteliaisuuttasi? Taitaa olla vaikeeta löytää mitään..Sinänsä ihan mieleenkiintoista
     
  5. Bluekkis

    Bluekkis Active member

    Liittynyt:
    04.08.2003
    Viestejä:
    2,235
    Kiitokset:
    0
    Pisteet:
    66
    swap osiossa ei edes ole (tietääkseni) mitään varsinaista tiedostojärjestelmää vaan linux käyttää sitä samaan tapaan kuin rammia, eli epäilen että sitä pystyy mitenkään edes cryptaamaan tehokkaasti.
     
  6. HmTT

    HmTT Regular member

    Liittynyt:
    29.09.2005
    Viestejä:
    484
    Kiitokset:
    0
    Pisteet:
    26
    swapon/swapoff-komennoilla pitäisi toimia.

    Kyllähän tuota swapin encryptausta suositellaan käytettäväksi tietyissä tilanteissa. Eräs on mm. silloin, kun encryptaa monen käyttäjän järjestelmässä kiintolevyjä. Swapin encryptaamalla ei pääse vahingossakaan swapin kautta vuotamaan kryptausavaimet muille käyttäjille. Mutta kuten jo aikaisemmissa viesteissä todettiin, kotikoneessa swapin encryptaukseen ei juurikaan ole perusteita.

    Teoriassa alla olevalla komentosarjalla swapin encryptaus voisi onnistua. Käytännössä en ole täysin varma, en jaksanut koittaa omalla koneella. Komento vaatii toimiakseen sopivat cryptaustuet kernelistä. (Dm-crypt, blowfish-algoritmi, sha256-hash..)

    $ swapoff /dev/hda2
    $ cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/hda2
    $ mkswap /dev/hda2
    $ swapon -a
     
  7. kaimaani8

    kaimaani8 Member

    Liittynyt:
    11.05.2006
    Viestejä:
    8
    Kiitokset:
    0
    Pisteet:
    11
    Kiitokset kommenteista ja vinkeistä.

    Jeps, kokeilen tuota komentosarjaa, kyse olis juuri yhden palvelimen (ainakin) kryptauksesta ensin testimielessä, että saa kaikki sekaisin ;=) ja jatkan etsiskelyä.

    Jos satun löytämään sopivan paketin tai menetelmän Sw:n kryptaukseen
    postaan sen kyllä tänne.

    Nyt ei jaksa mitään, vaikka onkin vasta +36 sisällä...





     
  8. kaimaani8

    kaimaani8 Member

    Liittynyt:
    11.05.2006
    Viestejä:
    8
    Kiitokset:
    0
    Pisteet:
    11
    Tämmöinen löyty ja helposti, täytyy kokeilla toiseen masiinaan
    missä onpi ubuntu 6.06.
    Ja monia muitakin toteutuksia näkyy olevan, ihan googlen takana:

    linux swap crypt....ja distro vielä perään.

    http://ubuntuforums.org/showthread.php?t=120091
     
  9. Sakarias

    Sakarias Active member

    Liittynyt:
    26.10.2004
    Viestejä:
    1,806
    Kiitokset:
    12
    Pisteet:
    68
    Aina sitä viisastuu. Huomasin, että Gentoossa voi sammutuksen yhteydessä määrätä, että swapin sisältö tuhotaan.

    # RC_SWAP_ERASE controls erasing of swap partitions at shutdown.
    # Useful for all those paranoid peeps to nuke their memory.

    RC_SWAP_ERASE="no"

    Kryptaus menee sitten näin (DM-Crypt)
    # find out which script takes care of activating the swap partition.
    > cd /etc/init.d
    > grep swapon *
    # the output will be something like this:
    halt.sh:swap_list=$(swapon -s 2>/dev/null)
    localmount: /sbin/swapon -a
    # localmount needs to be edited
    ## substitute the the '/sbin/swapon -a' line with the three lines below
    ## feel free to use any cipher.
    cryptsetup create -c blowfish-cbc-essiv -h sha256 -s 256 -d /dev/urandom swap /dev/sda2
    mkswap /dev/mapper/swap
    swapon /dev/mapper/swap

    Kannettavat kannattaa tietty kryptata. Mutta täytyy muistaa, että jos kryptattuun levyyn tulee joku vika, niin tiedostaja ei sitten palautella...paitsi varmuuskopiosta.

    Ja jos systeemin init-tiedostoja menee rukkaamaan, niin päivityksen yhteydessä muutokset voivat kadota... ja taas tarvitaan tietämystä miten ryptattu levy saadaan näkymään.

    Ja jos monen käyttäjän systeemi. Niin millä sitä swappia pääsee lukemaan? Itse en ole hakkerointia koskaan harrastanut enkä ymmärrä miten niitä salasanoja sielä swapista saa luettua. Eikös helpommin pääse muistiin käsiksi tai käyttäjien väliaikaistiedostoihin.

     
  10. HmTT

    HmTT Regular member

    Liittynyt:
    29.09.2005
    Viestejä:
    484
    Kiitokset:
    0
    Pisteet:
    26
    Kyseessä oli kryptausavain, ei salasana. Itselläkään ei ole tietoa miten se tarkalleen onnistuisi. Kyseessä on lähinnä potentiaalinen tietoturva-aukko, jonka adminit yleensä haluavat tukkia, ennenkuin mitään vakavaa tapahtuu. Se että minä en osaa tehdä sitä, ei tarkoita sitä että herra X ei osaisi.

    Käyttäjillä on kyllä oikeus käyttää muistia ja temppiä, mutta toisten tietojen kaivaminen esiin sieltä oikein rakenetussa systeemissä ei ole helppoa.
     

Jaa tämä sivu