क्यों स्वैप विभाजन एन्क्रिप्ट करें


11

मैंने इस साइट पर देखा है कि कई लिनक्स उपयोगकर्ता स्वैप विभाजन को एन्क्रिप्ट करते हैं। स्वैपिंग को एन्क्रिप्ट करने के क्या फायदे हैं?


1
इसे भी देखें: superuser.com/q/764655/96697
jcora

जवाबों:


19

संवेदनशील जानकारी की सुरक्षा के लिए स्वैप स्पेस का एन्क्रिप्शन इस्तेमाल किया जाता है। पासवर्ड के साथ व्यवहार करने वाले एप्लिकेशन पर विचार करें। जब तक ये पासवर्ड भौतिक मेमोरी में बने रहेंगे, तब तक ये पासवर्ड डिस्क पर नहीं लिखे जाएंगे और रिबूट के बाद साफ हो जाएंगे। यदि ओएस अन्य अनुप्रयोगों के लिए मुक्त स्थान के लिए मेमोरी पेजों को स्वैप करना शुरू कर देता है, तो पासवर्ड को डिस्क प्लॉटर्स को अनएन्क्रिप्टेड लिखा जा सकता है। इस परिदृश्य के लिए स्वैप स्पेस एन्क्रिप्ट करना एक समाधान हो सकता है।

स्वैप विभाजन डिफ़ॉल्ट रूप से एन्क्रिप्ट नहीं किए जाते हैं और जारी रखने से पहले किसी भी संवेदनशील डेटा को साफ़ करना चाहिए।

स्वैप पार्टीशन में बहुत सी अनएन्क्रिप्टेड गोपनीय जानकारी हो सकती है और यह तथ्य कि यह कंप्यूटर को बंद करने के बाद बनी रहती है, एक समस्या हो सकती है।

SWAP एन्क्रिप्ट करने के लिए, Ubuntu पर एन्क्रिप्टेड स्वैप विभाजन देखें

अतिरिक्त पढ़ना: स्वैप एन्क्रिप्शन , और उबंटू - स्वैप विभाजन कैसे एन्क्रिप्ट करें

स्रोत: सी। Brüffer


2

मुझे लगता है कि आप एक घर निर्देशिका या पूर्ण डिस्क एन्क्रिप्शन स्थापना के बारे में बात कर रहे हैं।

स्वैप को लगातार भंडारण पर स्थान आवंटित किया जाता है (क्योंकि यह सस्ता है), ऑपरेटिंग सिस्टम को अधिक वर्चुअल मेमोरी प्रदान करता है। आपके सभी एप्लिकेशन वर्चुअल मेमोरी में चलते हैं जो ऑपरेशन के लिए सभी अनएन्क्रिप्टेड डेटा को पकड़ते हैं। संभावना काफी अधिक है कि डिस्क पर एन्क्रिप्ट किए गए डेटा के कुछ अंश स्वैप स्टोरेज पर अनएन्क्रिप्टेड समाप्त हो रहे हैं। एन्क्रिप्शन कुंजियों की तरह अस्थायी इन-मेमोरी सामान को भौतिक मेमोरी से स्वैप करने के लिए कुछ समय के लिए स्थानांतरित किया जा सकता है (यदि कर्नेल ऐसा तय करता है)। एक सादे एन्क्रिप्शन कुंजी के साथ एक हमलावर निश्चित रूप से आपके पूरे हार्ड ड्राइव को डिक्रिप्ट करने में सक्षम है।

इसके अलावा, भौतिक मेमोरी के विपरीत, अपने पीसी को बंद करने के बाद स्वैप मिटाया नहीं जाता है।

यह भी ध्यान दें कि यदि आप अपने सिस्टम को हाइबरनेट करते हैं, तो सभी भौतिक मेमोरी को स्वैप करने के लिए लिखा जाएगा। यह एक संभावित हमलावर के लिए और भी अधिक डेटा प्रदान करता है।

संक्षेप में, आपकी मशीन पर डेटा के एन्क्रिप्शन के संदर्भ में , सुरक्षा दृष्टिकोण के अनुसार, एन्क्रिप्टेड फ़ाइलों को हैंडल करने पर स्वैप को एन्क्रिप्ट नहीं करना बहुत बुरी बात है । यह उस संपूर्ण सुरक्षा को भी भंग कर सकता है जिसे आप प्राप्त करने की कोशिश कर रहे हैं।


2

यही कारण है कि बहुत पहले ही मुझे अपने स्वैप विभाजन को वास्तव में एन्क्रिप्ट करने का यकीन हो गया था।

निम्नलिखित कमांड आज़माएं:
सबसे पहले अपने स्वैप डिवाइस का पता लगाएं, फिर पता करें कि क्या आपका उपयोगकर्ता पासवर्ड (या आपके लिए कोई स्ट्रिंग महत्वपूर्ण) स्वैप मेमोरी पर कहीं संग्रहीत है:

  $ sudo swapon --summary  
  Filename                                Type        ...  
  /dev/mapper/vg_ubu476-lv_swap           partition   ...  

   $ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>

यदि पासवर्ड नहीं मिला है, तो कमांड आउटपुट नहीं के साथ समाप्त होता है। मेरे लिए मेरे झपकी के 4 GiB के साथ, 40 सेकंड का समय लगा।
कोशिश करें कि "| अधिक" के बजाय "| grep <...>" के साथ प्रयास करें; यह दिखाएगा कि क्या आपने बहुत पहले से अपनी डिस्क को मिटा दिया था, एन्क्रिप्ट करने से पहले, यादृच्छिक ASCII के साथ या नहीं।

एक समस्या से सावधान रहें: उन आदेशों के बाद आपके "पासवर्ड का विकल्प" आपके बैश इतिहास में लिखा रहेगा, और आप इसे मिटाने की आवश्यकता महसूस कर सकते हैं। "पासवर्ड का विकल्प" के साथ आपको कम से कम पूरा पासवर्ड नहीं मिला है ... और: केवल रूट इसके अंदर देख सकता है।

मेरे स्ट्रिंग्स कमांड ने सिस्टम के डिक्रिप्टेड लेयर पर ध्यान दिया है, जो केवल OS चलाते समय रहता है।

नीचे कदम रखते हुए कि एलवीएम हैं, फिर डिक्रिप्टेड एलयूकेएस कंटेनर, और अंत में एन्क्रिप्टेड डिवाइस (एक बड़ा विभाजन)। आप कोशिश कर सकते हैं और उन सभी को "स्ट्रिंग्स" के साथ स्कैन कर सकते हैं।

जब मैंने उस "स्ट्रिंग्स" को पहली बार किया तो मुझे बहुत सारे रूट पासवर्ड मिले, क्योंकि मैं "सुडो सु -" के स्थान पर "सु-रूट" का उपयोग कर रहा था। अब, सुडो के साथ मुझे कोई नहीं मिला।

प्रदर्शन - मेरा विश्वास करो: मैं थिंकपैड W520 पर किसी भी देरी को महसूस करते हुए तीन एसएसडी पर एन्क्रिप्टेड सामान (सिस्टम + बड़े फोटो डेटाबेस) के 1,3 टेराबाइट्स के साथ काम कर रहा हूं। लेकिन कम से कम 8 GiB मेमोरी कुछ हद तक मदद कर सकती है।


यह एन्क्रिप्टेड Ubuntu 18.10 में काम नहीं करता है; मुझे "बैश: <निर्देशिका>: अनुमति से वंचित किया गया।" कंसोल में।
पैट्रिक डार्क

1

उन्हीं कारणों से आप मुख्य मेमोरी को एन्क्रिप्ट करना चाहेंगे। कार्यक्रम में आपकी जानकारी की स्पष्ट पाठ प्रतियां होती हैं और वे समय-समय पर अनुसूचक द्वारा डिस्क (स्वैप विभाजन) में स्वैप हो जाते हैं। यदि कोई पर्याप्त रूप से प्रेरित और सक्षम था, तो उस व्यक्तिगत डेटा के लिए स्वैप का खनन किया जा सकता है।

हालाँकि, यदि आपने अपनी रूट डिस्क को एन्क्रिप्ट नहीं किया है, तो स्वैप को एन्क्रिप्ट करना ज्यादा मायने नहीं रखता।

एन्क्रिप्शन सस्ता नहीं है, एक महत्वपूर्ण प्रदर्शन हिट की उम्मीद है।

केवल वही लोग जानते हैं जो बड़े पैमाने पर यात्रा करते हैं। यदि आप बस टिंकर करना चाहते हैं, तो इसके लिए जाएं।

पुनश्च इससे पहले कि कोई व्यक्ति मुख्य मेमोरी को एन्क्रिप्ट करने में सक्षम नहीं होने के बारे में समझदार बनाता है , कृपया http://bluerisc.com/ पर जाएं , यहां तक ​​कि निर्देश सेट एन्क्रिप्ट किया गया है।


मैं स्वैप डेटा को एन्क्रिप्ट करना समझता हूं। हालाँकि ... रैम को एन्क्रिप्ट करना ... इस खतरे से बचाव का कौन सा मॉडल है?
जय सुलिवन

1
शुरुआत के लिए बस विश्लेषक। यह उस तरह की चीज है जिस तरह से अगर वे क्षेत्र में एक संपत्ति खो देते हैं तो एक सैन्य दिलचस्पी होगी।
पेप्त्रकी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.