Die Verschlüsselung des Auslagerungsspeichers ist unter FreeBSD einfach einzurichten und seit FreeBSD 5.3-RELEASE verfügbar. Je nach dem, welche FreeBSD-Version Sie einsetzen, können Konfiguration und mögliche Optionen allerdings unterschiedlich sein. Seit FreeBSD 6.0-RELEASE können Sie entweder das gbde(8)- oder das geli(8)-Verschlüsselungs-Subsystem einsetzen. Verwenden Sie eine ältere FreeBSD-Version, sind Sie hingegen auf gbde(8) beschränkt. Beide Subsysteme werden über das rc.d-Skript encswap gestartet.
Der letzte Abschnitt, Partitionen verschlüsseln, enthält eine kurze Beschreibung der verschiedenen Verschlüsselungs-Subsysteme.
Wie die Verschlüsselung von Plattenpartitionen dient auch die Verschlüsselung des Auslagerungsspeichers dem Schutz sensitiver Informationen. Stellen Sie sich etwa eine Anwendung vor, die ein Passwort erfordert. Solange dieses Passwort im Hauptspeicher verbleibt, ist alles in Ordnung. Beginnt Ihr Betriebssystem allerdings, Daten auf die Festplatte auszulagern, um im Hauptspeicher Platz für andere Anwendungen zu schaffen, kann es passieren, dass Ihr Passwort im Klartext in den Auslagerungsspeicher geschrieben wird, was es einem potentiellen Angreifer leicht macht, Ihr Passwort herauszufinden. Die Verschlüsselung Ihres Auslagerungsspeichers kann dieses Problem lösen.
Anmerkung: Für die weiteren Ausführungen dieses Abschnitts stellt ad0s1b die Swap-Partition dar.
Noch ist Ihr Auslagerungsspeicher nicht verschlüsselt. Es könnte allerdings sein, dass bereits Passwörter oder andere sensitive Daten als Klartext im Auslagerungsspeicher vorhanden sind. Daher sollten Sie den Auslagerungsspeicher komplett mit zufällig generierten Zeichen überschreiben, bevor Sie ihn verschlüsseln:
# dd if=/dev/random of=/dev/ad0s1b bs=1m
Verwenden Sie FreeBSD 6.0-RELEASE oder neuer, sollten Sie in /etc/fstab das Suffix .bde an den Gerätenamen der Swap-Partition anhängen:
# Device Mountpoint FStype Options Dump Pass# /dev/ad0s1b.bde none swap sw 0 0
Für FreeBSD-Versionen vor 6.0-RELEASE benötigen Sie zusätzlich folgende Zeile in /etc/rc.conf:
gbde_swap_enable="YES"
Alternativ können Sie Ihren Auslagerungsspeicher auch mit geli(8) verschlüsseln. Die Vorgehensweise ist dabei ähnlich. Allerdings hängen Sie bei der Verwendung von geli(8) in /etc/fstab das Suffix .eli an den Gerätenamen der Swap-Partition an:
# Device Mountpoint FStype Options Dump Pass# /dev/ad0s1b.eli none swap sw 0 0
In der Voreinstellung verschlüsselt geli(8) den Auslagerungsspeicher mit dem AES-Algorithmus und einer Schlüssellänge von 256 Bit.
Es ist möglich, diese Optionen durch das Setzen der geli_swap_flags-Option in /etc/rc.conf anzupassen. Die folgende Zeile weist das rc.d-Skript encswap an, geli(8)-Swap-Partitionen mit dem Blowfish-Algorithmus und einer Schlüssellänge von 128 Bit zu verschlüsseln. Zusätzlich wird die Sektorgröße auf 4 Kilobyte gesetzt und die Option “detach on last close” aktiviert:
geli_swap_flags="-e blowfish -l 128 -s 4096 -d"
Auf Systemen vor FreeBSD 6.2-RELEASE verwenden Sie hingegen die folgende Zeile:
geli_swap_flags="-a blowfish -l 128 -s 4096 -d"
Eine Auflistung möglicher Optionen für den Befehl onetime finden Sie in der Manualpage zu geli(8).
Nachdem Sie Ihr System neu gestartet haben, können Sie die korrekte Funktion Ihres verschlüsselten Auslagerungsspeichers prüfen, indem Sie sich die Ausgabe von swapinfo ansehen.
Wenn Sie gbde(8) einsetzen, erhalten Sie eine Meldung ähnlich der folgenden:
% swapinfo Device 1K-blocks Used Avail Capacity /dev/ad0s1b.bde 542720 0 542720 0%
Wenn Sie geli(8) einsetzen, erhalten Sie hingegen ein Ausgabe ähnlich der folgenden:
% swapinfo Device 1K-blocks Used Avail Capacity /dev/ad0s1b.eli 542720 0 542720 0%
Zurück | Zum Anfang | Weiter |
Partitionen verschlüsseln | Nach oben | GEOM: Modulares Framework zur Plattentransformation |
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an <de-bsd-translators@de.FreeBSD.org>.