Написано Christian Br # 252; ffer.
Шифрування області підкачки в FreeBSD є починаючи з версії 5.3-RELEASE і досить легко конфігурується. Варіанти конфігурації злегка розрізняються залежно від версії системи. Починаючи з версії 6.0-RELEASE, для шифрування розділів підкачки можна використовувати утиліти gbde (8) або geli (8); в більш ранніх версіях доступно тільки рішення за допомогою gbde (8). В обох випадках використовується скрипт rc.d encswap.
Попередній розділ, Шифрування дискових розділів. коротко описує різні методи криптування.
Як і в випадку дискових розділів, шифрування області підкачки застосовується для захисту важливої інформації. Візьмемо, наприклад, додатком, що вимагає працювати з паролями. До тих пір, поки паролі зберігаються у фізичній пам'яті, все в порядку. Якщо ж операційна система починає вивантажувати окремі ділянки пам'яті в область підкачки, щоб звільнити пам'ять для інших додатків, паролі можуть бути записані на диск у відкритому вигляді і тим самим виявитися легко доступними зловмиснику (має фізичний доступ до диску - прим. Пер.). У таких ситуаціях рішенням може стати шифрування розділу підкачки.
Зауваження: В даному розділі ми будемо вважати, що розділом підкачки є ad0s1b.
До теперішнього моменту розділ підкачки ні зашифрований. Таким чином, на ньому можуть міститися паролі або будь-яка інша важлива інформація у відкритому вигляді. Щоб позбутися від цього, заповнимо розділ підкачки випадковими даними:
У версіях FreeBSD починаючи з 6.0-RELEASE в рядок файлу / etc / fstab. описує розділ підкачки, необхідно додати суфікс .bde:
У системах версій до FreeBSD 6.0-RELEASE, крім того, буде потрібно наступний рядок у файлі конфігурації системи /etc/rc.conf:
Процедура при використанні geli (8) для шифрування розділу підкачки подібна з використанням gbde (8). У рядок файлу / etc / fstab. описує розділ підкачки, потрібно додати суфікс .eli:
За замовчуванням, geli (8) використовує алгоритм криптування AES з довжиною ключа 256 біт.
При необхідності ці параметри можуть бути змінені в опції geli_swap_flags файлу конфігурації /etc/rc.conf. Наведена нижче рядок вказує, що скрипт rc.d encswap повинен використовувати для криптування алгоритм Blowfish з ключем довжиною 128 біт, розміром сектора 4 кілобайти і включеною опцією # '#' Від'єднатися при останньому закритті # '#':
За списком можливих опцій звертайтеся до опису команди onetime в сторінці довідника geli (8).
Після перезавантаження системи правильність роботи шифрованого розділу підкачки може бути перевірена за допомогою команди swapinfo.
У разі використання gbde (8):