스왑 파티션을 암호화해야하는 이유


답변:


19

스왑 공간의 암호화는 중요한 정보를 보호하는 데 사용됩니다. 암호를 다루는 응용 프로그램을 고려하십시오. 이러한 암호가 실제 메모리에있는 한이 암호는 디스크에 기록되지 않으며 재부팅 후에 지워집니다. OS가 다른 응용 프로그램을위한 공간을 확보하기 위해 메모리 페이지 스왑을 시작하면 암호가 디스크 플래터에 암호화되지 않은 상태로 기록 될 수 있습니다. 이 시나리오에서는 스왑 공간을 암호화 할 수 있습니다.

스왑 파티션은 기본적으로 암호화되지 않으므로 계속하기 전에 중요한 데이터를 삭제해야합니다.

스왑 파티션은 암호화되지 않은 많은 기밀 정보를 보유 할 수 있으며 컴퓨터를 종료 한 후에도 유지된다는 사실은 문제가 될 수 있습니다.

SWAP를 암호화하려면 Ubuntu의 암호화 된 스왑 파티션을 참조하십시오.

추가 자료 : 스왑 암호화우분투-스왑 파티션을 암호화하는 방법

출처 : C. 브 뤼퍼


2

나는 당신이 홈 디렉토리 또는 전체 디스크 암호화 설치에 대해 이야기하고 있다고 가정합니다.

스왑은 운영 체제에 더 많은 가상 메모리를 제공하여 영구 스토리지에 공간을 할당합니다 (싸기 때문에). 모든 응용 프로그램은 작업을 위해 암호화되지 않은 모든 데이터를 보유하는 가상 메모리에서 실행됩니다. 디스크에서 암호화 된 데이터의 일부가 스왑 저장소에서 암호화되지 않은 상태로 종료 될 가능성이 상당히 높습니다. 또한 암호화 키와 같은 임시 인 메모리 항목은 실제 메모리에서 이동하여 얼마 동안 스왑이 가능합니다 (커널이 결정한 경우). 일반 암호화 키를 사용하면 공격자가 전체 하드 드라이브를 해독 할 수 있습니다.

또한 실제 메모리와 달리 PC를 끈 후에도 스왑이 지워지지 않습니다.

또한 시스템을 최대 절전 모드로 전환하면 모든 실제 메모리가 스왑되도록 작성됩니다. 이는 가능한 공격자에게 더 많은 양의 데이터를 제공합니다.

요약하면, 머신의 데이터 암호화와 관련 하여 보안 관점에서 암호화 된 파일을 처리 할 경우 스왑을 암호화 하지 않는 것은 매우 나쁜 일 입니다. 달성하려는 완전한 보안을 위반할 수도 있습니다.


2

이것이 바로 오래 전에 스왑 파티션도 실제로 암호화하기로 확신 한 이유입니다.

다음 명령을 시도하십시오.
먼저 스왑 장치를 찾은 다음 사용자 암호 (또는 중요한 문자열)가 스왑 메모리의 어딘가에 저장되어 있는지 확인하십시오.

  $ sudo swapon --summary  
  Filename                                Type        ...  
  /dev/mapper/vg_ubu476-lv_swap           partition   ...  

   $ sudo time strings < /dev/mapper/vg_ubu476-lv_swap | grep <any substring of your password>

암호를 찾을 수 없으면 명령은 출력없이 종료됩니다. 4GiB의 스왑으로 40 초가 걸렸습니다.
grep <...> "대신"| more "로 시도하십시오. 암호화하기 전에 임의의 ASCII로 디스크를 처음부터 닦았는지 여부가 표시됩니다.

문제를 명심하십시오 : 이 명령 후에 "암호의 하위 문자열"은 bash 기록에 계속 기록되어 있어야하며 암호를 지워야 할 수도 있습니다. "암호의 하위 문자열"을 사용하면 최소한 완전한 암호를 얻지 못합니다. 그리고 루트 만 볼 수 있습니다.

내 문자열 명령은 시스템의 암호 해독 된 계층을 조사했으며 OS를 실행하는 동안에 만 존재합니다.

아래에 LVM, 암호 해독 된 LUKS 컨테이너 및 암호화 된 장치 (대용량 파티션)가 있습니다. "문자열"로 모두 스캔하고 스캔 할 수 있습니다.

"스트링"을 처음했을 때 "sudo su-"대신 "su-root"를 사용하면서 많은 루트 암호를 찾았습니다. 이제 sudo로는 아무것도 찾지 못했습니다.

성능 -Belive me : 지연을 느끼지 않고 Thinkpad W520의 SSD 3 개에서 1,3TB의 암호화 된 항목 (시스템 + 큰 사진 데이터베이스)을 사용하고 있습니다. 그러나 최소 8GiB 메모리가 다소 도움이 될 수 있습니다.


암호화 된 Ubuntu 18.10에서는 작동하지 않습니다. “bash : <directory> : Permission denied.”가 나타납니다. 콘솔에서.
Patrick Dark

1

같은 이유로 메인 메모리를 암호화하려고합니다. 프로그램에는 정보의 일반 텍스트 사본이 있으며 스케줄러에 의해 때때로 디스크로 스왑됩니다 (스왑 파티션). 하나의 동기가 부여되고 활성화 된 경우 해당 개인 데이터에 대한 스왑을 채굴 할 수 있습니다.

그러나 루트 디스크를 암호화하지 않은 경우 스왑 암호화는 중요하지 않습니다.

암호화는 저렴하지 않으며, 상당한 성능 저하를 기대합니다.

내가 "모두 다"하는 사람은 광범위하게 여행합니다. 땜질하고 싶다면 그냥 가십시오.

PS는 메인 메모리를 암호화 할 수 없다는 현명한 균열을 일으키기 전에 http://bluerisc.com/을 방문하십시오 . 명령 세트는 암호화되어 있습니다.


스왑 데이터 암호화를 이해합니다. 그러나 ... 암호화 ... 이것으로부터 보호해야 할 위협 모델은 무엇입니까?
Jay Sullivan

1
스타터 용 버스 분석기. 군대가 현장에서 자산을 잃어 버렸을 때 관심을 가지게 될 것입니다.
ppetraki
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.