ฉันจะตั้งค่าไฟล์สลับที่เข้ารหัสใน Linux ได้อย่างไร

2017 คำเตือน! คำตอบที่ได้รับการยอมรับนั้นดูเหมือนว่าจะใช้งานได้ แต่ด้วยเมล็ดข้าวฉันได้ค้นพบว่าระบบจะหยุดทำงานทันทีที่มันเริ่มทำการแลกเปลี่ยน หากคุณพยายามใช้ไฟล์ swap ที่เข้ารหัสตรวจสอบให้แน่ใจว่าได้ทำการสลับไฟล์อย่างถูกต้อง ฉันใช้เวลานานในการหาสาเหตุที่ระบบของฉันยังคงล็อคอยู่โดยไม่มีเหตุผลที่ชัดเจน ฉันกลับไปใช้การแลกเปลี่ยนพาร์ติชันที่เข้ารหัสซึ่งทำงานได้อย่างถูกต้อง

ฉันจะตั้งค่าไฟล์สลับที่เข้ารหัส (ไม่ใช่พาร์ติชัน) ใน Linux ได้อย่างไร เป็นไปได้ไหม คำแนะนำทั้งหมดที่ฉันได้พบพูดคุยเกี่ยวกับพาร์ทิชันการเข้ารหัสที่เข้ารหัส แต่ฉันไม่มีพาร์ติชันการสลับและฉันไม่ต้องการแบ่งพาร์ติชันดิสก์ของฉันอีกครั้ง

ฉันไม่ต้องการการสนับสนุน suspend-to-disk ดังนั้นฉันต้องการใช้ปุ่มสุ่มในการบูตแต่ละครั้ง

ฉันใช้ไดรฟ์ข้อมูลที่โฮสต์ไฟล์TrueCryptอยู่แล้วสำหรับข้อมูลของฉัน แต่ฉันไม่ต้องการใส่การแลกเปลี่ยนลงในโวลุ่มนั้น ฉันไม่ได้ตั้งค่าโดยใช้ TrueCrypt สำหรับไฟล์ swap หากมีวิธีแก้ไขที่ดีกว่า

ฉันใช้Arch Linuxกับเคอร์เนลเริ่มต้นถ้าเป็นเช่นนั้น

อันที่จริงหน้าอธิบายการตั้งค่าพาร์ทิชัน แต่มันคล้ายกับ swapfile:

dd if=/dev/urandom of=swapfile.crypt bs=1M count=64
loop=$(losetup -f)
losetup ${loop} swapfile.crypt
cryptsetup open --type plain --key-file /dev/urandom ${loop} swapfile
mkswap /dev/mapper/swapfile
swapon /dev/mapper/swapfile

ผลลัพธ์:

# swapon -s
Filename                                Type            Size    Used    Priority
/dev/mapper/swap0                       partition       4000176 0       -1
/dev/mapper/swap1                       partition       2000084 0       -2
/dev/mapper/swapfile                    partition       65528   0       -3

swap0 และ swap1 เป็นพาร์ติชันที่แท้จริง

การกำหนดค่านี้ใช้คีย์ที่สร้างแบบสุ่มในการบูตและจะไม่สนับสนุนการไฮเบอร์เนตไปยังฮาร์ดดิสก์! คุณควรปิดใช้งานการจำศีลผ่านโปรแกรมอรรถประโยชน์การจัดการพลังงาน DE ของคุณและตั้งค่าเป็นปิดระบบที่สำคัญเพื่อหลีกเลี่ยงการสูญเสียข้อมูล!

ตรวจสอบให้แน่ใจว่าได้รันsudo -sหรือsuก่อนรัน

1. ปิดการใช้งาน Swap:

   # swapoff -a
   

2. ค้นหา Swap Partition ที่มีอยู่

   # lsblk
   

   คุณจะได้รับสิ่งนี้:

   sda3    8:3    0     8G  0 part [SWAP]
   

3. เขียนทับ Swap เก่า

   # dd if=/dev/zero bs=1024000 of=/dev/sda<#>
   

   ตัวอย่างเช่น:

   # dd if=/dev/zero bs=1024000 of=/dev/sda3
   

4. fstab ติดตั้ง

   # vim /etc/fstab
   

   แทนที่อุปกรณ์ SWAP เก่าด้วยชื่อผู้ทำแผนที่ crypttab: /dev/mapper/cswap

   #<file system>      <mount point>   <type>  <options>   <dump>  <pass>
   /dev/mapper/cswap   none            swap    pri=1,defaults  0   0
   

5. การตั้งค่า Crypto

   # ls -lF /dev/disk/by-id
   

   ตัวอย่างเช่น:

   ata-HGST_HTS545050A7E680_TEK55D4F0BU3GV-part3 -> ../../sda3
   
   # vim /etc/crypttab
   
   # <name>    <device>                            <password>  <options>
     cswap     /dev/disk/by-id/ata-HGST_HTS545050A7E680_TEK55D4F0BU3GV-part3   /dev/urandom    swap,cipher=aes-cbc-essiv:sha256,size=256
   

6. Active Encrypted Swap

   # reboot
   

7. ตรวจสอบการดำเนินการแลกเปลี่ยนที่ถูกบล็อก

   ตัวอย่างเช่น:

   # dmsetup -C info 
   cswap      253   0 L--w    2    1      0 CRYPT-PLAIN-cswap  
   # lsblk
   ├─sda3                8:3    0     8G  0 part  
   │ └─cswap             253:0    0     8G  0 crypt [SWAP]
   # cat /proc/swaps 
   Filename                Type        Size    Used    Priority
   /dev/dm-0               partition   8385532 0       -1
   

หากคุณใช้dd if=/dev/zero of=/swapfile bs=8G count=1ตามด้วยmkswap /swapfileและswapon /swapfileคุณควรมี swapfile ที่ใช้งานได้ในระบบไฟล์รูทของคุณ (เราใช้ddเพื่อให้แน่ใจว่าไม่มีช่องโหว่ใน swapfile)

สิ่งนี้ทำให้เกิดปัญหากับอุปกรณ์วนรอบและ / หรือ crypttab และเพียงแค่วาง swapfile ไว้ในระบบไฟล์ที่เข้ารหัสของคุณแล้ว (เราสมมติว่าคุณกำลังใช้การเข้ารหัสสำหรับไดรฟ์ทั้งหมดที่นี่เตรียม/swapfileพารามิเตอร์พร้อมเส้นทางไปยังไดเรกทอรีที่เข้ารหัสของคุณหากเป็นที่อื่น)

ดูman mkswapและman swaponสำหรับข้อมูลเพิ่มเติม