Encriptando sua partição SWAP

Publicado por Fernando em 01/05/2013

[ Hits: 6.062 ]

Blog: https://github.com/phoemur/

 


Encriptando sua partição SWAP



Se você é tão paranóico sobre segurança, que apenas encriptar o sistema de arquivos não é suficiente, seja bem-vindo.

Se alguma vez em seus delírios persecutórios você imaginou que os dados sensíveis que o seu computador mandou para a SWAP não vão ser apagados e estarão acessíveis com um simples “# dd if=... of=...”, enquanto não forem sobrepostos, desta vez meu amigo, infelizmente você tem razão.

Encriptar o sistema de arquivos principal é um bom início, mas, dependendo do tipo de uso do seu computador, talvez seja interessante continuar lendo.

Quando a memória livre do sistema cai abaixo de um certo valor, o kernel Linux irá jogar alguns dados para a SWAP que você pode não desejar que sejam bisbilhotados.

Então, mãos à obra.

Aqui estou utilizando Slackware 14.0, mas deve funcionar em todas as distribuições.

* Atenção apenas que se o seu "fstab" utiliza o UUID ao invés do device, os comandos serão diferentes.

# export PART=`sed -n '/^\/dev/{s/\(^\/dev\/....\).*$/\1/;s/ //g;p}' /proc/swaps`

Verifique se sua partição SWAP original foi definida corretamente na variável "$PART":

# echo $PART

Backup nunca é demais:

# cp /etc/fstab /etc/fstab.old

Desligando a SWAP:

# swapoff -a

Apagando o que está na SWAP:

# shred -v $PART  # Vá tomar um café, pois demora alguns minutos.

Criando o arquivo "crypttab" (análogo ao fstab, mas define a criptografia):

# echo swap $PART /dev/random swap,cipher=aes-xts-essiv:sha256 > /etc/crypttab

Alterando o fstab original (se usar UUID mude o comando ou edite na mão):

# sed -i '/swap/{s/^\/dev\/..../\/dev\/mapper\/swap/}' /etc/fstab

E, por fim, ativando a SWAP encriptada:

# cryptsetup -d /dev/random create swap $PART
# mkswap /dev/mapper/swap
# swapon -a


Pronto, está feito. Experimente o comando:

# cat /proc/swaps

Veja que a SWAP ativa não é mais a sua partição original, e sim um dispositivo em /dev que vai encriptar primeiro e depois redirecionar para o HD.

Para informações detalhadas, recorra às manpages dos respectivos comandos.

Recomendo também o excelente artigo Criptografar sua atual partição root usando dm-crypt com luks, apesar de o considerar mais difícil de implementar.

Traduzido e adaptado de:
Vale a pena visitar.

Abraços.

Outras dicas deste autor

Broadcom BCM43225 no FreeBSD

MPlayer - Como utilizar sem bloquear o prompt

Como utilizar os SlackBuilds 14.1 no seu sbopkg

Bloqueando acesso ao servidor a utilizadores do TOR

Não se esqueça do IPv6 no seu Firewall

Leitura recomendada

Técnicas anti-forense para ocultação de dados

CentOS 7: Configurando NTFS através do Repositório EPEL

Acessar compartilhamento Windows

Evitando vulnerabilidades em seu servidor NFS

find - Buscando arquivos com tamanhos específicos

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts