Swap criptografada no Debian¶
Se, no caso de partições de sistemas de arquivos é interessante que sejam montadas apenas por intervenção humana (pois do contrário não haverá ganho em segurança com a criptografia), o mesmo não precisa ocorrer com a swap porque ela é usada apenas como área de troca temporária, mas apenas se a mesma foi sempre recriada com uma chave aleatória.
Por isso, não há problema em deixar o sistema recriar uma swap criptografada com chave aleatória a cada vez que o sistema é reiniciado. Isso é até uma vantagem, já que, a cada vez que o sistema reinicia, ele usa uma chave diferente para criar a swap.
O procedimento a seguir é baseado em Encrypted swap partition on Debian/Ubuntu.
Procedimento¶
Considerando que você esteja com o pacote cryptsetup
instalado, proceda da
seguinte maneira para a criação de um dispositivo de swap:
swapoff -a
cryptsetup -h sha512 -c aes-xts-plain64:sha256 -s 512 create swap /dev/SUA_SWAP
mkswap -f /dev/mapper/swap
swapon /dev/mapper/swap
Adicione a seguinte entrada no seu /etc/crypttab
:
swap /dev/SUA_SWAP /dev/random swap,cipher=aes-xts-plain64:sha256
Substitua a entrada atual para a swap do /etc/fstab
para a seguinte:
/dev/mapper/swap none swap sw 0 0
Proceda de modo análogo para cada swap existente no sistema. Ao reiniciar sua máquina, o sistema deverá ser capaz de recriar os dispositivos de swap usando uma nova senha aleatória a cada vez.