martes, 26 de febrero de 2008

Encriptando la partición swap

Muchos sabrán que en la swap quedan datos persistentes como contraseñas y otros. Por este motivo es una buena práctica mantener esta partición encriptada con una llave al azar.
Para ello necesitamos en paquete cryptsetup-luks (yum install cryptsetup-luks).

Una vez que hemos instalado el programa, como root en una consola:
  • Desmontamos la(s) swap(s) activas
    swapoff -a
  • Editamos el fichero /etc/crypttab (si no existe lo creamos) agregando lo siguiente:
    swap /dev/sdX /dev/urandom swap,cipher=aes-cbc-plain:sha256

  • Luego editamos /etc/fstab para que la entrada de swap apunte a /dev/mapper/swap.
  • Indicamos que esa partición será swap:
    mkswap /dev/mapper/swap

  • Montamos nuevamente la swap:
    swapon -a
  • Reiniamos
  • Para verificar si está funcionando la swap encriptada:

    [root@caleuche ~]# cryptsetup status swap
    /dev/mapper/swap is active:
    cipher: aes-cbc-plain
    keysize: 256 bits
    device: /dev/dm-1
    offset: 0 sectors
    size: 4259840 sectors
    mode: read/write
Pronto veremos como encriptar una partición ext3.

2 comentarios:

Xavier dijo...

Me ha resultado interesante y tengo unas dudas. ¿Se pierde rendimiento en el sistema?¿Se puede cifrar con una clave más fuerte que 256 bits?

Gotencool dijo...

El rendimiento va a depender tanto del algoritmo empleado como del largo de la clave.
A mayor tamaño de la llave (se puede configurar con --key-size xxxx en el comando crytsetup) se perderá algo de desempeño.
Yo usando una llave 256 no he notado cambios de desempeño, claro que si usamos alguna herramienta nos dará valores que demuestren que se pierde performance.