#encryption #swap
#шифрование #поменять местами #обмен
Вопрос:
Я пытаюсь понять, почему вы хотели бы зашифровать раздел / swap в ОС Linux? Если я правильно понимаю, dm-crypt обеспечивает шифрование / защиту данных при монтировании диска или раздела. (Если только я полностью не упустил суть dm-crypt, и кажется, что он не выполняет никакого шифрования или защиты данных после того, как вы смонтировали раздел и фактически работаете внутри ОС).
Зачем же тогда вам понадобилось шифровать свой раздел / swap на сервере? Я мог видеть, что это имеет смысл на ноутбуке или настольном компьютере, который переходит в режим ожидания / гибернации, но для сервера, который либо «включен», либо «выключен», у вас никогда не будет никаких данных в / swap при загрузке.
Ответ №1:
Он защищает от тех, кто отключает ваш сервер, разбивает корпус и считывает диск.
Комментарии:
1. Таким образом, содержимое подкачки не уничтожается при перезагрузке / завершении работы, как /tmp (в большинстве дистрибутивов)?
2. Насколько мне известно, при завершении работы ничего не происходит, оно просто отключается … /tmp (и /var /tmp и другие) очищаются при запуске. Swap не ИСПОЛЬЗУЕТСЯ, поскольку все было остановлено или уничтожено, но swap не обнуляется, а просто помечается как «неиспользуемый». Шифрование раздела подкачки очень важно, поскольку я могу сканировать его на наличие остатков. Зашифрованная файловая система считается безопасной, если она удалена из системы или если у вас нет ключа доступа. Трудно извлечь из него информацию. Он по-прежнему зашифрован при запуске ОС, но, надеюсь, трудно получить несанкционированный доступ.
Ответ №2:
/ swap — это раздел, подобный любому другому на вашем диске. Записанные на него данные сохраняются при загрузке и отключении питания (если это не RAM-диск, и даже тогда это зависит).
Если информация находится в зашифрованном разделе, затем загружается в память (что обычно означает, что она также была расшифрована), а затем выгружается из памяти (теперь она находится в разделе / swap ), то эта расшифрованная информация может быть прочитана из раздела / swap в любой момент вплоть до этого сектора дискаперезаписывается.
Комментарии:
1. Ах, хорошо, это имеет смысл. Итак, другая часть вопроса заключается в том, что если у меня есть данные на зашифрованном разделе dm-crypt, то после монтирования раздела (во время загрузки) все данные больше не шифруются во время работы ОС, верно? Если я также не использую что-то вроде ecryptfs для шифрования определенных файлов.
2. @user63019: сам диск всегда зашифрован. ОС расшифровывает при чтении диска и шифрует при записи на диск.
3. Но что это дает? От кого / от чего это защищает меня в этой ситуации? Не могли бы вы привести мне пример? Например, «когда у вас включено шифрование и запущена ОС, пользователь-мошенник не может выполнить xxxxxxx»
4. @user: пользователь-мошенник не может извлечь жесткий диск и прочитать его. Предполагается, что вы уже запрещаете пользователям-мошенникам запускать код на сервере.
5. Хорошо, тогда dm-crypt действительно предназначен только для обеспечения доступа к данным при выключенном диске. Если я хочу зашифровать данные во время работы ОС, я должен использовать ecryptfs или что-то эквивалентное. Это правильно?