|
Linuxin Swap -osion salaus
|
|
|
kaimaani8
Newbie
|
10. kesäkuuta 2006 @ 08:15 |
Linkki tähän viestiin
|
|
Mites Linuxin swap -osio kryptataan, siihen lienee ihan valmis paketti, mutta kun ei osaa vielä kaikkea (hakea)...
Että miks? Siks koska kaikkea urkitaan nykypäivänä.
Ja kohta lähes entisenä winu-käyttäjänä tulin paranoidiksi ;=)
|
Senior Member
|
10. kesäkuuta 2006 @ 09:20 |
Linkki tähän viestiin
|
|
Samalla tavalla kai kun normaalit osiot? en ole kyllä varma koska swapin "partition id", eli vapaasti suomennettuna "osion tyyppi", on eri kuin normaalin linux osion.. yritä googlettaa valmista pakettia - minä vähän epäilen, että semmoista ei löydy.
Teoriassa homma edellytttää sitä että se ohjelmanpätkä, joka käsittelee sitä kryptausta pitää ladata ennen kuin swappi otetaan käyttöön.. Voisi samalla olettaa että tuolle kryptausohjelmalle pitää renicellä vetää swappia alempi prioriteetti jotta kryptaus/dekryptaus saa enemmän prosessoriaikaa swappitoiminto. Tämä ihan vain linux-vehkeen suorituskyvyn takia.
Sitten voi joutua muokkailemaan monia muitakin asioita, joita minulla näin äkkiseltään ei tule mieleen.. En todellakaan tiedä varmasti miten tuo hoituu, tuskin täällä kukaan tietää ja voi vain arvailla että miten sen voisi toteuttaa parhaiten - siten että se vaikuttaisi mahdollisimman vähän (huonontavasti) linuxin suorituskykyyn.
Jos googlella löydät ratkaisun, pasteta linkki tänne :-)
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 10. kesäkuuta 2006 @ 10:04
|
|
Sakarias
Suspended due to non-functional email address
|
10. kesäkuuta 2006 @ 15:30 |
Linkki tähän viestiin
|
|
Onko tuohon tarvetta? eikös /home /tmp ja selaimen historia ym ole niitä ekaksi luettavia... Ei ole tullut mieleen että swappia ryhtyisi kaivelemaan. Jos kyseessä on kotikone voi sammutuksen yhteyteen lisätä scriptin joka kirjoittaa swap-levyn vaikka täyteen nollaa...siihen käy hyvin dd. Tuo voi tuoda lisää turvallisuuden tunnetta. Itseasiassa en tiedä miten swap-levy otetaan käyttöön ja poistetaan käytöstä. Itse jaan samaa swap osiota kahden eri linux systeemin välilä ilman ongelmia.
Erikseen on sitten vielä nämä swapit, jolloin muisti talletetaan levylle "lepotilassa". Eipä ole itsellä käytössä.
Ja jos muistia siinä giga ei swap-levyä juuri käytetä.
Oletko koskaan lukenut swap osiota uteliaisuuttasi? Taitaa olla vaikeeta löytää mitään..Sinänsä ihan mieleenkiintoista
|
Senior Member
|
10. kesäkuuta 2006 @ 20:42 |
Linkki tähän viestiin
|
|
swap osiossa ei edes ole (tietääkseni) mitään varsinaista tiedostojärjestelmää vaan linux käyttää sitä samaan tapaan kuin rammia, eli epäilen että sitä pystyy mitenkään edes cryptaamaan tehokkaasti.
うさぎ => Kubuntu 10.04 64b + W7Pro64 # EliteBook 8540w # Ci7 620M # 4GB # QFX 880M # 7k500 500GB
きつね => WXP32 # PIIX4 910e # 4GB # RHD 6870 # 500GB
くま => Linux/XBMC 64b # Zotac MAG HD-ND01 # N330 # 2GB # GF 9400M/ION
とら => Ubuntu Server 8.04 LTS 64b # Jetway NC62K-LF # AX2 4850e @1,7GHz/0,9V # 2GB # F1 4x1TB
|
Member
|
11. kesäkuuta 2006 @ 15:30 |
Linkki tähän viestiin
|
Quote:
Itseasiassa en tiedä miten swap-levy otetaan käyttöön ja poistetaan käytöstä.
swapon/swapoff-komennoilla pitäisi toimia.
Kyllähän tuota swapin encryptausta suositellaan käytettäväksi tietyissä tilanteissa. Eräs on mm. silloin, kun encryptaa monen käyttäjän järjestelmässä kiintolevyjä. Swapin encryptaamalla ei pääse vahingossakaan swapin kautta vuotamaan kryptausavaimet muille käyttäjille. Mutta kuten jo aikaisemmissa viesteissä todettiin, kotikoneessa swapin encryptaukseen ei juurikaan ole perusteita.
Teoriassa alla olevalla komentosarjalla swapin encryptaus voisi onnistua. Käytännössä en ole täysin varma, en jaksanut koittaa omalla koneella. Komento vaatii toimiakseen sopivat cryptaustuet kernelistä. (Dm-crypt, blowfish-algoritmi, sha256-hash..)
$ swapoff /dev/hda2
$ cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/hda2
$ mkswap /dev/hda2
$ swapon -a
:(){ :|:& };:
|
|
kaimaani8
Newbie
|
12. kesäkuuta 2006 @ 07:44 |
Linkki tähän viestiin
|
|
Kiitokset kommenteista ja vinkeistä.
Jeps, kokeilen tuota komentosarjaa, kyse olis juuri yhden palvelimen (ainakin) kryptauksesta ensin testimielessä, että saa kaikki sekaisin ;=) ja jatkan etsiskelyä.
Jos satun löytämään sopivan paketin tai menetelmän Sw:n kryptaukseen
postaan sen kyllä tänne.
Nyt ei jaksa mitään, vaikka onkin vasta +36 sisällä...
|
|
kaimaani8
Newbie
|
12. kesäkuuta 2006 @ 08:10 |
Linkki tähän viestiin
|
Tämmöinen löyty ja helposti, täytyy kokeilla toiseen masiinaan
missä onpi ubuntu 6.06.
Ja monia muitakin toteutuksia näkyy olevan, ihan googlen takana:
linux swap crypt....ja distro vielä perään.
http://ubuntuforums.org/showthread.php?t=120091
|
|
Sakarias
Suspended due to non-functional email address
|
12. kesäkuuta 2006 @ 15:10 |
Linkki tähän viestiin
|
|
Aina sitä viisastuu. Huomasin, että Gentoossa voi sammutuksen yhteydessä määrätä, että swapin sisältö tuhotaan.
# RC_SWAP_ERASE controls erasing of swap partitions at shutdown.
# Useful for all those paranoid peeps to nuke their memory.
RC_SWAP_ERASE="no"
Kryptaus menee sitten näin (DM-Crypt)
# find out which script takes care of activating the swap partition.
> cd /etc/init.d
> grep swapon *
# the output will be something like this:
halt.sh:swap_list=$(swapon -s 2>/dev/null)
localmount: /sbin/swapon -a
# localmount needs to be edited
## substitute the the '/sbin/swapon -a' line with the three lines below
## feel free to use any cipher.
cryptsetup create -c blowfish-cbc-essiv -h sha256 -s 256 -d /dev/urandom swap /dev/sda2
mkswap /dev/mapper/swap
swapon /dev/mapper/swap
Kannettavat kannattaa tietty kryptata. Mutta täytyy muistaa, että jos kryptattuun levyyn tulee joku vika, niin tiedostaja ei sitten palautella...paitsi varmuuskopiosta.
Ja jos systeemin init-tiedostoja menee rukkaamaan, niin päivityksen yhteydessä muutokset voivat kadota... ja taas tarvitaan tietämystä miten ryptattu levy saadaan näkymään.
Ja jos monen käyttäjän systeemi. Niin millä sitä swappia pääsee lukemaan? Itse en ole hakkerointia koskaan harrastanut enkä ymmärrä miten niitä salasanoja sielä swapista saa luettua. Eikös helpommin pääse muistiin käsiksi tai käyttäjien väliaikaistiedostoihin.
|
|
Mainos
|
|
|
Member
|
12. kesäkuuta 2006 @ 19:41 |
Linkki tähän viestiin
|
Quote:
Ja jos monen käyttäjän systeemi. Niin millä sitä swappia pääsee lukemaan? Itse en ole hakkerointia koskaan harrastanut enkä ymmärrä miten niitä salasanoja sielä swapista saa luettua.
Kyseessä oli kryptausavain, ei salasana. Itselläkään ei ole tietoa miten se tarkalleen onnistuisi. Kyseessä on lähinnä potentiaalinen tietoturva-aukko, jonka adminit yleensä haluavat tukkia, ennenkuin mitään vakavaa tapahtuu. Se että minä en osaa tehdä sitä, ei tarkoita sitä että herra X ei osaisi.
Quote:
Eikös helpommin pääse muistiin käsiksi tai käyttäjien väliaikaistiedostoihin.
Käyttäjillä on kyllä oikeus käyttää muistia ja temppiä, mutta toisten tietojen kaivaminen esiin sieltä oikein rakenetussa systeemissä ei ole helppoa.
:(){ :|:& };:
|
