在LMDE (debian)中设置加密交换

Question

我想使用一个交换驱动器，该驱动器在引导时使用随机密钥加密。不过，我不确定我是否安全地做了。

我目前有基于拱形维基实例的/etc/crypttab。与他们的文章不同，我从mkswap那里得到了交换的UUID。它不允许我将我的交换空间放在一个1MB的ext2分区之后的未分配空间中，如arch示例所示。由于这个原因，我对这个主要的wiki例子有点谨慎。

我现在的密码是：

cryptswap UUID=... /dev/urandom swap,cipher=aes-cbc-essiv:sha256,size=256,offset=2048

这是设置加密交换的正确方法吗？如果它试图写入驱动器的最后1MB，我不确定偏移量是如何运行的。

可能值得注意的是，在对硬件进行测试之前，我正在VM中进行所有这些测试。

更新：

这是在尝试使用ext2格式化驱动器时显示的错误消息，完全按照arch教程所示：

    sudo /etc/init.d/cryptdisks reload
[ ok ] Stopping remaining crypto disks...cryptswap (stopped)...done.
[....] Starting remaining crypto disks...[info] cryptswap (starting)...
[....] cryptswap: the precheck for '/dev/disk/by-label/cryptswap' failed: - The [warne /dev/disk/by-label/cryptswap contains a filesystem type ext2. ... (warning).
[FAILswap (failed)...failed.

Answer 1

与他们的文章不同，我从mkswap那里得到了交换的UUID。

这可能不是个好主意。如果设备上有未加密的交换头，并且在1 MiB偏移量处使用相同的设备进行加密交换，如果出于任何原因激活两个交换分区，则交换将覆盖彼此的数据，因为它们是同一台设备。

这种模糊性在1MB ext2分区中不存在--因为ext2被限制在1MB，即使您使用它(挂载它，写入它，.)它仍然是安全的，不会将东西写入加密交换所使用的区域。这里唯一危险的操作是resize2fs。

它不允许我将我的交换空间放在一个1MB的ext2分区之后的未分配空间中，如arch示例所示。

最后，Debian和ArchLinux是不同的，所以它们的解决方案可能不一定适合您。如果是GPT，您可能可以使用PARTUUID而不是UUID来解决问题。只是，如果您想要将分区用于其他事情，您应该删除该分区并创建一个新的分区(带有一个新的PARTUUID)，因此下次重新启动它时，不会无意中再次格式化为交换.

如果你想在这个方向上得到更多的帮助，也许你应该详细阐述错误信息之类的.我猜想Debian中有一个过滤器脚本，它拒绝类似文件系统的东西，以避免数据丢失的情况。您可能可以通过添加precheck=/bin/true来禁用它。

如果可能的话，完全避免这个密码是非常危险的(在错误的设备格式化方面)。使用适当的加密与一个LUKS头是安全得多，即使这意味着必须键入另一个密码。

如果它试图写入驱动器的最后1MB，我不确定偏移量是如何运行的。

没有问题，offset只会导致一个较小的设备映射。因此，如果您有一个1000MiB分区，并使用带有偏移量1MiB的普通加密映射，则得到的加密设备在大小上是999MiB。