Hi Christian! Am Dienstag, 10. Mai 2005 22:46 schrieb Christian Boltz:
[..]
IIRC habe ich mal in einer Mail gelesen, dass auch verschlüsselter Swap möglich ist. Da derjenige allerdings den Swap mit einem Key aus /dev/random initialisiert hat, war an suspend-to-disk nicht zu denken. ("Choose your poison"...)
Weiß jemand mehr zum Thema "Swap verschlüsseln"? [...] Da ich ein sehr paranoider Mensch bin verschlüssel ich meinen swap tatsächlich. Dazu wird nur ein Kernel mit cryptoloop-support benötigt. Achtung: Der Standardkernel von SuSE bietet dies nicht! In /etc/fstab hab dazu das hier eingetragen: /dev/loop1 swap swap pri=42 0 0 loop1 deswegen, weil ich auf loop0 eine Containerdatei liegen habe. Damit der swap bei Systemstart auch initialisiert wird hab ich /etc/init.d/boot.swap etwas geändert:
Der start-Teil [...] echo "Activating remaining swap-devices in /etc/fstab..." #swapon -a &> /dev/null #Mit dd wird ein Zufallspasswort erzeugt. #Danach wird dieses Password fuer losetup verwendet und dann damit der #swap verschluesselt. /bin/dd if=/dev/random bs=1b count=999 | /sbin/losetup -e aes256 -p 0 /dev/loop1 /dev/hda2 #Jetzt wird auf dem verschluesselten device der swap erzeugt. /sbin/mkswap /dev/loop1 #Und letztendlich aktiviert. /sbin/swapon -a rc_status -v1 -r ;; stop) echo "Turning off swap" sync ; sync rc_reset #Der swap wird abgeschaltet. swapoff -a &> /dev/null #Und das loop-Device abgemeldet. /sbin/losetup -d /dev/loop1 #Und nun wird auf /dev/hda2 wieder ein ganz normaler swap erzeugt. mkswap /dev/hda2 & > /dev/null [...] Und der stop-Teil #Der swap wird abgeschaltet. swapoff -a &> /dev/null #Und das loop-Device abgemeldet. /sbin/losetup -d /dev/loop1 #Und nun wird auf /dev/hda2 wieder ein ganz normaler swap erzeugt. mkswap /dev/hda2 & > /dev/null [...] Indem ich einen normalen swap beim abschalten erzeuge verhindere ich, dass ein Kernel ohne cryptoloop-support einen Fehler meldet. Beim Systemstart kann es dann allerdings vorkommen, dass das System scheinbar nach "Activating remaining swap-devices in /etc/fstab..." hängen bleibt, aber es wartet tatsächlich nur auf neue Zufallsdaten. Es reicht, wenn man dann ein wenig auf den Tasten klimpert und es geht weiter. Alternativ kann man auch den count-Wert verringern, aber... Die ganz wichtigen Sachen kommen dann mit gpg verschlüsselt in die Containerdatei gelegt. So kann ich die Geheimdienste dieser Welt wenigsten um ein paar Minuten aufhalten. ;-) Tobias -- GPG-Fingerprint: C39E 5381 7721 8613 B5C9 CFAF 54FC B8DB D02D 7085 Registered Linux-User #367044 Registered Linux-Machine #262062 http://counter.li.org Diese E-Mail wurde mit einer fortgeschrittenen elektronischen Signatur nach §2 2. d) SigG signiert.