Mint, TC+Luks, problem ze SWAP

[morfik]

0

Kontener to jest tylko warstwa logiczna mówiąca systemowi jak ma traktować dane na pewnym wycinku jakiegoś urządzenia. Może być to cały dysk, może to być partycja, może to być wycinek partycji -- cokolwiek. Wiec sobie partycjonujesz dysk i na partycji robisz kontener.

Kod:

# lsblk
NAME                             SIZE FSTYPE      TYPE  LABEL          MOUNTPOINT     UUID
loop0                            512M crypto_LUKS loop                                a077037d-4b5d-48bc-9b62-6f3c9db2b734
└─dropbox                        510M ext4        crypt dropbox        /media/Dropbox 4b303177-d9a8-4659-a783-a1f8f56c3a98
sda                            232.9G             disk
├─sda1                             2G ext4        part  boot           /boot          37a2b033-c47c-4c41-9287-b2f2a44e1bcd
└─sda2                         230.9G crypto_LUKS part  wd_black_label                e017ac1c-c46f-4b3f-a319-e1f5ed15144a
  └─sda2_crypt                 230.9G LVM2_member crypt                               4GHw5b-KfYT-FeXN-lL8L-cWiA-7XG9-7GdCfj
    ├─wd_black_label-freespace    64M             lvm
    ├─wd_black_label-root         40G ext4        lvm   root           /              225c8e26-083f-440b-b243-c972a236a74e
    ├─wd_black_label-home         64G ext4        lvm   home           /home          bfecaf53-464f-47d7-9075-c4d358136f17
    └─wd_black_label-kabi      122.8G ext4        lvm   kabi           /media/Kabi    df2a8b92-b990-40fc-a818-8fafa50eef93
sdb                            931.5G             disk
├─sdb1                         820.3G crypto_LUKS part  wd_blue_label                 66861f93-9fc7-46f9-b969-1ade25dcb898
│ └─sdb1_crypt                 820.3G LVM2_member crypt                               HTmcBl-es16-2tT3-TK2n-uOyE-NaTL-ZRAT1c
│   ├─wd_blue_label-zami         354G ext4        lvm   zami           /media/Zami    141f5fee-3080-4852-9511-d9fb929028f7
│   ├─wd_blue_label-android      320G ext4        lvm   android        /media/Android 91f0c6ba-a318-4f7e-94ad-5ccdef94dca4
│   ├─wd_blue_label-grafi       99.3G ext4        lvm   grafi          /media/Grafi   abc7c0af-76b3-423e-8dd2-e89008614036
│   ├─wd_blue_label-ccache        37G ext4        lvm   ccache         /media/ccache  d340d1a1-3a02-449c-98e4-603679fba072
│   └─wd_blue_label-swap           6G swap        lvm                  [SWAP]         906486b5-8194-4926-a454-13aa38640a6c
├─sdb2                          62.5G ntfs        part  windows                       78E28017E27FD838
└─sdb3                          46.7G ntfs        part  win_data                      5E046FAF1D2A959B

Tu masz dwa dyski. Na pierwszym z nich masz dwie fizyczne partycje: jedna pod /boot/ druga pod zaszyfrowany kontener. W kontenerze jest LVM z trzema dyskami logicznymi. Na drugim dysku są trzy partycje fizyczne i pierwsza zawiera zaszyfrowany kontener, gdzie masz również LVM z 5 dyskami logicznymi. Tam jest też partycja wymiany SWAP.

Jak zmieniasz hasło do kontenera czy też robisz nowy kontener w miejscu starego (na tej samej partycji), to nagłówek jest przepisywany. A na dysku ssd masz równoważenie obciążenia zużycia komórek i niby system zapisze nowe dane ale jest nikłe prawdopodobieństwo, że te dane trafią w to samo miejsce, tak jak to jest w przypadku dysku hdd. Tu sobie poczytaj: https://gitlab.com/cryptsetup/cryptsetup...ty-aspects

Jak się hibernuje system, to cały zrzut pamięci wędruje na dysk. Jak masz swap niezaszyfrowany, to można z niego bez problemu wydobyć klucz szyfrujący dane. Dlatego trzeba sobie zaszyfrować SWAP, by dane z pamięci RAM były przechowywane na dysku w formie szyfrowanej. Potem podczas startu maszyny, będzie prośba o hasło do odszyfrowania dysku. Po odszyfrowaniu dysku, system poszuka automatycznie obrazu pamięci RAM i jak znajdzie, to go załaduje. Tu nie ma żadnego problemu z bezpieczeństwem o ile się poprawnie ten SWAP zaimplementuje.

Zajrzyj sobie do /lib/cryptsetup/scripts/ i poszukaj info o tych skryptach.