LMDE(debian)で暗号化された交換設定

LMDE(debian)で暗号化された交換設定

起動時に任意のキーで暗号化されたスワップドライブを使用したいと思います。しかし、これが安全であるかどうかはわかりません。

私は現在/ etc / crypttabに基づいています。Arch Wikiの例。彼らの記事とは異なり、mkswapからスワップのUUIDを取得しました。 Archwikiの例に示すように、スワップ領域をext2パーティションの1MBを超える未割り当て領域に配置することはできません。したがって、私はアーチウィキの例を少し警戒しています。

私の現在のcrypttabは次のとおりです。

cryptswap UUID=... /dev/urandom swap,cipher=aes-cbc-essiv:sha256,size=256,offset=2048

これが暗号通貨取引所を設定する正しい方法ですか?ドライブの最後の1MBに書き込もうとすると、オフセットがどのように機能するのかわかりません。

ハードウェアで実行する前に、テスト目的で仮想マシンでこれらすべてを実行することに注目する価値があります。

修正する:

これは、アーチチュートリアルに示されているのと同じようにext2でフォーマットされたドライブを使用しようとしたときに表示されるエラーメッセージです。

    sudo /etc/init.d/cryptdisks reload
[ ok ] Stopping remaining crypto disks...cryptswap (stopped)...done.
[....] Starting remaining crypto disks...[info] cryptswap (starting)...
[....] cryptswap: the precheck for '/dev/disk/by-label/cryptswap' failed: - The [warne /dev/disk/by-label/cryptswap contains a filesystem type ext2. ... (warning).
[FAILswap (failed)...failed.

答え1

彼らの記事とは異なり、mkswapからスワップのUUIDを取得しました。

これはおそらく良い考えではないでしょう。デバイスに暗号化されていないスワップヘッダがあり、1MiBオフセットの暗号化スワップに同じデバイスを使用している場合、両方のスワップパーティションが有効になっている理由に関係なく、スワップは同じデバイスであるため、互いにデータを上書きします。

1MB ext2パーティションにはそのようなあいまいさはありません。 ext2は1MBに制限されているため、使用しても(マウント、書き込みなど)依然として安全で、使用されているゾーン暗号化スワップにコンテンツを書き込むことはありません。 ext2で。ここで唯一危険な仕事はですresize2fs

Archwikiの例に示すように、スワップ領域をext2パーティションの1MBを超える未割り当て領域に配置することはできません。

最後に、DebianとArchLinuxは異なるため、彼らのソリューションは必ずしもあなたには適していない可能性があります。 GPTの場合はPARTUUID代わりに使用できますUUID。ただし、そのパーティションを別の目的に使用するには、PARTUUID次回の再起動時にパーティションを削除し、新しいパーティションを使用して新しいパーティションを作成する必要があります。誤ってフォーマットしてもう一度交換しないでください...

これについてより具体的な支援が必要な場合は、エラーメッセージなどについて詳しく説明する必要があります。 Debian には、データ損失の状況を避けるためにファイルシステムのように見えることを拒否するフィルタスクリプトがあるようです。 precheck=/bin/true.

この種の暗号通貨交換は本当に危険です(誤ってフォーマットされたデバイスを誤ってフォーマットした場合)、可能であれば完全に避けてください。 LUKSヘッダーを使用する適切な暗号化は、他のパスワードを入力する必要がある場合でもより安全です。

ドライブの最後の1MBに書き込もうとすると、オフセットがどのように機能するのかわかりません。

問題ありません。offsetデバイスマップが小さくなるだけです。したがって、1000MiBパーティションがあり、オフセットが1MiBの通常のcrypttabマップを使用している場合、結果の暗号化デバイス999MiBのサイズは適切です。

関連情報