Anleitung zum Verschlüsseln von swap

[wheezytester]

Hallo,

ich suche verzweifelt nach einer brauchbaren Anleitung wie ich meine swap partition verschlüsselt einbinden kann.
Was ich probiert habe:
ecryptfs-setup-swap ausführen. Liefert:

Code: Alles auswählen

INFO: setting up swap: [/dev/sda3]
WARNING: Commented out your unencrypted swap from /etc/fstab
swapon: stat failed /dev/mapper/cryptswap1: Datei oder Verzeichnis nicht gefunden

Beim booten erscheint nun:

Code: Alles auswählen

Please enter passphrase for disk xxxxxxxxxxxxxxxxxxxxx (cryptswap1) on none!

Nach 2 min bootet er weiter, bindet dann aber die /dev/sda3 unverschlüsselt ein. Oder ich drücke ENTER, dann erscheint direkt

Code: Alles auswählen

[FAILED] Failed to start Cryptograhy setup [...]

in der /etc/fstab steht nun

Code: Alles auswählen

/dev/mapper/cryptswap1 none swap sw 0 0

und in der /etc/crypttab

Code: Alles auswählen

cryptswap1 /dev/sda3 /dev/urandom swap,cipher=aes-cbc-essiv:sha256

Wenn ich wie in anderen Anleitungen in der /etc/crypttab die /dev/sda3 durch die UUID=xxxxx ersetze, passiert das gleiche.

Bin um jeden Tip dankbar.

Beste Grüße
wheezytester

[smutbert]

konkrete Anleitung habe ich keine zur Hand, aber wenn du swap verschlüsseln willst, würde ich im wesentlichen zwei Möglichkeiten in Betracht ziehen:
- lvm auf Basis eines verschlüsselten Geräts einrichten und dort swap als lv anlegen
- swap auf einer eigenen verschlüsselten Partition einrichten, aber bei jedem Systemstart einen (anderen) zufälligen Schlüssel verwenden, was dich der Möglichkeit des Suspend to DISK beraubt

Du versuchst zweiteres, richtig?

[dufty2]

Die swap-Partition einfach ganz wegzulassen ( (c) by schwedenmann ) wäre ein Option?
Von wieviel RAM reden wir bzw. wie sind Deine Anforderungen?

[schwedenmann]

Hallo



Nur mal so als Test, gebt mal bei euren Desktp-PC htop ein und schaut euch die Angabe zu swap an

bei mir, amd64, fast 4000Progarmme, jede Mange Prozese, ist swap = 0 Auslastung !

Das beobachte ich auch auf alten i686 Kisten mit max. 1GB RAM, selbst wenn dort mem und cpu zu 80%-90% ausgelastet sind, wird nicht geswapt. Bei Servern ist da anders, aber auch nut dort, wo sehr viel user daraufzugreifen, im Homelan mit 4 usern kann man swap auch getrost vergessen.

mfg
schwedenmann

[wheezytester]

konkrete Anleitung habe ich keine zur Hand, aber wenn du swap verschlüsseln willst, würde ich im wesentlichen zwei Möglichkeiten in Betracht ziehen:
- lvm auf Basis eines verschlüsselten Geräts einrichten und dort swap als lv anlegen
- swap auf einer eigenen verschlüsselten Partition einrichten, aber bei jedem Systemstart einen (anderen) zufälligen Schlüssel verwenden, was dich der Möglichkeit des Suspend to RAM beraubt

Du versuchst zweiteres, richtig?

Ja zweiteres ist für mich das kleinere Übel.

Die swap-Partition einfach ganz wegzulassen ( (c) by schwedenmann ) wäre ein Option?
Von wieviel RAM reden wir bzw. wie sind Deine Anforderungen?

Theoretisch ja, aber ich weis nicht ob das lange gut geht. Es ist ein Notebook und hat nur 4GB.
Es geht mir in erster Linie darum, dass im Falle eines Verlustes oder Diebstahls, keine sensiblen Daten auf der Festplatte verbleiben. Die home-partition ist per ecryptfs-setup-private verschlüsselt.

Beste Grüße

[schwedenmann]

Hallo

Die home-partition ist per ecryptfs-setup-private verschlüsselt.

Nutzt da einer Linux-Mint

mfg
schwedenmann

[wheezytester]

Nutzt da einer Linux-Mint :mrgreen:
schwedenmann

Viele Leute nutzen es, da bin ich mir sicher. :) Ich gehöre jedoch nicht dazu. Benutze ganz normal debian 8.

[wanne]

Zuerstmal:

Code: Alles auswählen

WARNING: Commented out your unencrypted swap from /etc/fstab

=> Bitte die entsprechende Zeile in der fstab entfernen.

Zur Sicherheit:

Code: Alles auswählen

fdisk /dev/sda
t
3
82
w
mkswap /dev/sda3
update-initramfs -u

Sollte reichen, damit du ein zufällig verschlüsselte SWAP bekommst. Dann get Suspend to Disk nicht mehr. (Wohl aber Suspend to RAM)

[wanne]

Achso: Du solltest /dev/sda3 durch /dev/disk/by-id/ata-[FESPLATTENNAME]-part3 ersetzen. Irgend wann kommt ein neuer Kernel und sda3 ist was anderes und das wird dann gnadenlos Überbügelt. (Ist mir schon in anderem Zusammenhang passiert, dass das Device sda plötzlich ein anderes war und schon war's überbügelt.) Allerdings sollte die crypttab eigentlich intelligent genug sein, zu merken, dass da Daten sind und das nicht passieren.
UUIDS kannst du in dem Fall nicht nehmen, weil die sich jedes Hochfahren zufällig ändern.
Wenn du eine GPT nutzt, kannst du partuuids oder partlabels nehmen. (Ist die ganz elegante Methode aber ich sehe kaum GPTs. Und umstellen willst du eher nicht.)

[wheezytester]

Code: Alles auswählen

fdisk /dev/sda
t
3
82
w
mkswap /dev/sda3
update-initramfs -u

Achso: Du solltest /dev/sda3 durch /dev/disk/by-id/ata-[FESPLATTENNAME]-part3 ersetzen.

Habe ich beides so gemacht. Beim booten kommt leider immernoch die "Please enter passphrase" Fehlermeldung:

Code: Alles auswählen

Please enter passphrase for disk xxx (cryptswap1) on none!
Job for systemd-cryptsetup@swap.service failed. See 'systemctl status systemd-cryptsetup@swap.service' and 'journalctl -xn' for details.

journalctl -xn:

Code: Alles auswählen

[...] systemd[1]: Job dev-mapper-cryptswap1.device/start timed out.
[...] systemd[1]: Timed out waiting for device dev-mapper-cryptswap1.device.

systemctl status systemd-cryptsetup@swap.service:

Code: Alles auswählen

systemd-cryptsetup@swap.service
Loaded: not.found (Reason: No such file or directory)
Active: inactive (dead)

[wheezytester]

OK. Habe es nun hinbekommen. Ich verstehe es zwar nicht, aber es funktioniert:

Wie im Beitrag hier von einem User geschrieben, soll man die für die Verschlüsselung vorgesehene Partition mit irgendwas formatieren, außer swap. Habe einfach mal ein "HP-UX data"-Typ genommen.

swapon -s:

Code: Alles auswählen

Filename Type Size Used Priority
/dev/dm-0 partition 8398844 0 -1

ls -lsa /dev/mapper/cryptswap1

Code: Alles auswählen

0 lrwxrwxrwx 1 root root 7 Aug 31 12:09 /dev/mapper/cryptswap1 -> ../dm-0

Hier scheint noch irgendwo der Wurm im systemd zu sein, scheint mir.
Beste Grüße

[wanne]

Wie im Beitrag hier von einem User geschrieben, soll man die für die Verschlüsselung vorgesehene Partition mit irgendwas formatieren, außer swap. Habe einfach mal ein "HP-UX data"-Typ genommen.

Es muss halt irgend was sein, was cryptsetup dicht als verwertbare Daten erkennt. Dachte, dass das mit swap der fall sei. Sonst ist vermutlich das der sauberere weg:

Code: Alles auswählen

head -c8M /dev/zero > /dev/sda3

Aber wie bekommst du vxfs oder ufs formatiert? Ich meine mounten ist da ja schon nicht ganz primitiv.

Hier scheint noch irgendwo der Wurm im systemd zu sein, scheint mir.

Wiso passt doch alles. oder?

[wanne]

Würde aber immernoch sagen, dass da noch irgend welche kaputten Einträge in der /etc/fstab rumligen.
Poste die mal bitte. Und ggf mal die /etc/crypttab und ggf.

Code: Alles auswählen

ls /lib/systemd/system/crypt*
ls /etc/systemd/system/crypt*
ls /lib/systemd/system/swap*
ls /etc/systemd/system/swap*

[wheezytester]

Es muss halt irgend was sein, was cryptsetup dicht als verwertbare Daten erkennt. Dachte, dass das mit swap der fall sei.

Aber wie bekommst du vxfs oder ufs formatiert? Ich meine mounten ist da ja schon nicht ganz primitiv.[/code]
Da cryptsetup das Filesystem nicht benutzt ist es ja eigentlich egal als was die Partition formatiert ist, hauptsache ein block device. Bei mir habe ich sie unformatiert gelassen.

Hier scheint noch irgendwo der Wurm im systemd zu sein, scheint mir.

Wiso passt doch alles. oder?

Es sieht für mich so aus als ob hier zwei Mechanismen am arbeiten sind. Einer, der swap partitionen sucht und gleich automatisch und unverschlüsselt einbindet.
Und ein weiterer, der die cryptsetup Sachen abarbeitet. Wahrscheinlich ist ersterer schneller, und das blockiert dann cryptsetup. Durch das setzten des Partitionstyp auf nicht-Swap wird ersterer somit übersprungen.

Würde aber immernoch sagen, dass da noch irgend welche kaputten Einträge in der /etc/fstab rumligen.
Poste die mal bitte. Und ggf mal die /etc/crypttab und ggf.

Code: Alles auswählen

ls /lib/systemd/system/crypt*
ls /etc/systemd/system/crypt*
ls /lib/systemd/system/swap*
ls /etc/systemd/system/swap*

/etc/fstab:

Code: Alles auswählen

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda2 during installation
UUID=xxxxxxxx-xxxx-xxxx-xxxxb-xxxxxxxxxxxx /               ext4    errors=remount-ro 0       1
# /boot/efi was on /dev/sda1 during installation
UUID=xxxx-xxxx  /boot/efi       vfat    umask=0077      0       1
# /home was on /dev/sda4 during installation
UUID=xxxxxxxx-xxxx-xxxx-xxxxb-xxxxxxxxxxxx /home           ext4    defaults        0       2
/dev/sr0        /media/cdrom0   udf,iso9660 user,noauto     0       0
/dev/mapper/cryptswap1 none swap sw 0 0

/etc/crypttab:

Code: Alles auswählen

cryptswap1 /dev/disk/by-id/ata-xxxxxxxxxx_xx-xxxxxxx_xxxxxxxxxxxxxx-part3 /dev/urandom swap,cipher=aes-cbc-essiv:sha256

ls -lsa /lib/systemd/system/crypt*:

Code: Alles auswählen

0 lrwxrwxrwx 1 root root   9 Aug 29 17:45 /lib/systemd/system/cryptdisks-early.service -> /dev/null
0 lrwxrwxrwx 1 root root   9 Aug 29 17:45 /lib/systemd/system/cryptdisks.service -> /dev/null
4 -rw-r--r-- 1 root root 394 Aug 29 17:45 /lib/systemd/system/cryptsetup-pre.target
4 -rw-r--r-- 1 root root 366 Aug 29 17:45 /lib/systemd/system/cryptsetup.target

ls -lsa /etc/systemd/system/crypt*

Code: Alles auswählen

ls: cannot access /etc/systemd/system/crypt*: No such file or directory

ls -lsa /lib/systemd/system/swap*

Code: Alles auswählen

4 -rw-r--r-- 1 root root 353 Aug 29 17:45 /lib/systemd/system/swap.target

ls -lsa /etc/systemd/system/swap*

Code: Alles auswählen

ls: cannot access /etc/systemd/system/swap*: No such file or directory

LG wheezytester

[rendegast]

Einfach eine swap-Datei innerhalb des verschlüsselten root?
/.swap
oder
/var/.swap
?

- swap auf einer eigenen verschlüsselten Partition einrichten, aber bei jedem Systemstart einen (anderen) zufälligen Schlüssel verwenden, was dich der Möglichkeit des Suspend to DISK beraubt

Mit obiger Datei wäre suspend-to-disk/Resume möglich.
Das Resume-device ist dann das entschlüsselte root + offset.

[Derkleinealfred]

Warum hast du denn SWAP wenn du ein versch. Sytsem möchtest?
Da machst du besser keinen und holst für nen 50er mehr RAM