Il est judicieux que si vous avez une sorte de cryptage de périphérique de bloc implémenté sur votre système GNU / Linux, pour crypter votre partition de swap aussi, car toutes les données décryptées peuvent être écrites en texte clair à tout moment dans le swap.
En regardant la page de manuel debian pour "crypttab", je vois un exemple de création d'une partition de swap à clé aléatoire au démarrage, de sorte que la clé est définie de manière aléatoire au fur et à mesure du démarrage et connue uniquement du système lui-même:
# Encrypted swap device
cswap /dev/sda6 /dev/urandom cipher=aes-cbc-essiv:sha256,hash=ripemd160,size=256,swap
Dans cet exemple, le dispositif d'échange est référencé par un chemin de développement conventionnel, c'est-à-dire /dev/sda6
Les chemins d'accès absolus aux appareils sont susceptibles de changer et d'être réaffectés au démarrage si, par exemple, un lecteur USB est branché, par exemple. Un utilisateur serait très mécontent s'il se /dev/sda6
trouvait être une partition différente de celle attendue et elle a ensuite été remplacée par des données d'échange aléatoires !!
La solution semble donc être: utiliser un UUID au lieu d'un chemin de périphérique (car un UUID ne devrait pas changer), en le remplaçant /dev/sda6
par/dev/disk/by-uuid/<whatever the uuid of dev/sda6 is>
MAIS ... voici le problème: chaque fois que cryptsetup recrée la partition de swap chiffrée au démarrage, il génère un nouvel UUID pour cela! Ah!
Nous devons donc en quelque sorte conserver l'UUID de ce système de fichiers chiffré. Je pense que cryptsetup peut le faire avec son --offset
commutateur, permettant la préservation de l'en-tête LUKS et donc de l'UUID.
J'ai trouvé cette URL: https://wiki.archlinux.org/index.php/System_Encryption_with_LUKS#Using_UUIDs_with_encrypted_swap_partitions
Quelqu'un sait-il comment implémenter la solution décrite pour Arch Linux sur le système d'exploitation Debian? Les scripts d'initialisation mentionnés dans le document ne semblent pas exister sur le système d'exploitation Debian
Merci!
EDIT
On pourrait utiliser ecryptfs pour atteindre les mêmes fins (espace d'échange crypté) en utilisant la commande:
ecryptfs-setup-swap
Sans les problèmes qui assaillent le cryptage des périphériques bloqués. Jetez un oeil à cette requête AskUbuntu
ecryptfs-setup-swap
c'est juste une aide qui configuredm-crypt
/crypttab
pour vous. Commeecryptfs
c'est un pilote au niveau du fichier, il ne gère pas des partitions entières, il le ferme doncdm-crypt
. Vous trouverez peut-être cette méthode plus conviviale, mais vous n'obtiendrez finalement rien de différent. Si quoi que ce soit, les caprices de cette méthode (y compris l'UUID) m'ont probablement rendu plus confus que si je venais de le faire moi-même à partir des premiers principes ... bien que j'aie appris plus.