19.15. Den Auslagerungsspeicher verschlüsseln

Geschrieben von Christian Brüffer.

Wie die Verschlüsselung von Partitionen, wird auch der Auslagerungsspeicher verschlüsselt, um sensible Informationen zu schützen. Stellen Sie sich eine Anwendung vor, die mit Passwörtern umgeht. Solange sich diese Passwörter im Arbeitsspeicher befinden, werden sie nicht auf die Festplatte geschrieben und nach einem Neustart gelöscht. Falls FreeBSD jedoch damit beginnt Speicher auszulagern, um Platz für andere Anwendungen zu schaffen, können die Passwörter unverschlüsselt auf die Festplatte geschrieben werden. Die Verschlüsselung des Auslagerungsspeichers kann in solchen Situationen Abhilfe schaffen.

Das gbde(8)- oder das geli(8)-Verschlüsselungs-Subsystem kann für die Verschlüsselung des Auslagerungsspeichers eingesetzt werden. Beide Subsysteme nutzen das encswap rc.d-Skript.

Anmerkung:

Für den Rest dieses Abschnitts wird ad0s1b die Swap-Partition darstellen.

Swap-Partitionen werden standardmäßig nicht verschlüsselt. Sie sollten daher alle sensiblen Daten im Auslagerungsspeicher löschen, bevor Sie fortfahren. Führen Sie folgenden Befehl aus, um die Swap-Partition mit Zufallsdaten zu überschreiben:

# dd if=/dev/random of=/dev
/ad0s1b bs=1m

19.15.1. Den Auslagerungsspeicher mit gbde(8) verschlüsseln

In der Datei /etc/fstab sollte das Suffix .bde an den Gerätenamen der Swap-Partition anhängt werden:

# Device                Mountpoint      FStype  Options         Dump    Pass#
/dev/ad0s1b.bde         none            swap    sw              0       0

19.15.2. Den Auslagerungsspeicher mit geli(8) verschlüsseln

Die Vorgehensweise für die Verschlüsselung des Auslagerungsspeichers mit geli(8) ist der von gbde(8) sehr ähnlich. Bei der Verwendung von geli(8) in /etc/fstab wird das Suffix .eli an den Gerätenamen der Swap-Partition angehangen:

# Device                Mountpoint      FStype  Options         Dump    Pass#
/dev/ad0s1b.eli         none            swap    sw              0       0

In der Voreinstellung verschlüsselt geli(8) den Auslagerungsspeicher mit dem AES-Algorithmus und einer Schlüssellänge von 128 Bit. Diese Voreinstellungen können mittels geli_swap_flags in /etc/rc.conf angepasst werden. Die folgende Zeile weist das rc.d-Skript encswap an, geli(8)-Swap-Partitionen mit dem Blowfish-Algorithmus und einer Schlüssellänge von 128 Bit zu verschlüsseln. Zusätzlich wird die Sektorgröße auf 4 Kilobyte gesetzt und detach on last close aktiviert:

geli_swap_flags="-e blowfish -l 128 -s 4096 -d"

Eine Auflistung möglicher Optionen für onetime finden Sie in der Manualpage von geli(8).

19.15.3. Überprüfung des verschlüsselten Auslagerungsspeichers

Nachdem das System neu gestartet wurde, kann die korrekte Funktion des verschlüsselten Auslagerungsspeichers mit swapinfo geprüft werden.

Wenn Sie gbde(8) einsetzen, erhalten Sie eine Meldung ähnlich der folgenden:

% swapinfo
Device          1K-blocks     Used    Avail Capacity
/dev/ad0s1b.bde    542720        0   542720     0%

Wenn Sie geli(8) einsetzen, erhalten Sie hingegen eine Ausgabe ähnlich der folgenden:

% swapinfo
Device          1K-blocks     Used    Avail Capacity
/dev/ad0s1b.eli    542720        0   542720     0%

Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an <de-bsd-questions@de.FreeBSD.org>.

Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an <de-bsd-translators@de.FreeBSD.org>.