BSD-Wiki

Mitschrift einer FreeBSD-Installation

Benutzer-Werkzeuge

Webseiten-Werkzeuge


swap_verschluesseln

Allgemein

In der swap Partition legt FreeBSD Daten ab die nicht mehr in den RAM passen. Da die Festplatte Daten persistent speichert und in RAM gerne auch sensible Daten liegen können ist es angebracht die swap-Partition zu verschlüsseln. Somit sind die ausgelagerten Daten nach dem Herunterfahren des Systems nicht mehr zugreifbar.

SWAP verschlüsseln

Damit die swap-Partition verschlüsselt wird muss lediglich in der /etc/fstab der Eintrag für die swap-Partition um ein .eli erweitert werden.

Damit wird z.B. aus der Zeile:

/dev/mirror/gm0p3       none      swap    sw        0      0

einfach ein:

/dev/mirror/gm0p3.eli   none      swap    sw        0      0

Zusätzlich wird in die Datei /etc/rc.conf die folgende Zeile ergänzt:

geli_swap_flags="-d"

Allgemeines zur Nutzung von GELI

Neuere Prozessoren bieten hardwareseitige AES-Unterstützung. Damit wird die Ver- und Entschlüsselung von AES deutlich beschleunigt. Da GELI standardmäßig AES verwendet und die Hardwarebeschleunigung nutzen kann ist es sinnvoll diese zu aktivieren.

Hierzu wird in der Datei /boot/loader.conf einfach folgende Zeile hinzugefügt:

aesni_load="YES"

Auf Systemen die AESNI nicht unterstützen wird die Zeile ignoriert. Im Zweifel kann also nichts schief gehen wenn man die Zeile einfügt obwohl der Prozessor den Befelssatz nicht unterstützt.

Nach dem nächsten Neustart wird die swap-Partition verschlüsselt.

swap_verschluesseln.txt · Zuletzt geändert: 2017/10/02 13:40 (Externe Bearbeitung)

Impressum