ubuntuusers.de

Ubuntu 24.04 meint swap wäre nicht encrypted

Status: Ungelöst | Ubuntu-Version: Ubuntu 24.04 (Noble Numbat)
Antworten |

D3M

Avatar von D3M

Anmeldungsdatum:
28. Juni 2011

Beiträge: 29

Hallo,

ich habe von 22.04 auf 24.04 geupgraded. Hierbei habe ich eine Funktion entdeckt: Einstellungen - Datenschutz und Sicherheit

Dort habe ich massig fehler. Das mein RAM nicht encrypted wäre und dass swap nicht verschlüsselt ist. Die Logs gehen Monate zurück.

Wie kommt Ubuntu darauf?

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
cat /etc/crypttab | grep crypto
cryptoswap      /dev/nvme...  /dev/urandom    swap,cipher=aes-xts-plain64,size=512


cat /etc/fstab | grep crypto
/dev/mapper/cryptoswap  none    swap    sw      0       0


sudo cryptsetup status /dev/mapper/cryptoswap
/dev/mapper/cryptoswap is active and is in use.
type:    PLAIN
cipher:  aes-xts-plain64
keysize: 512 bits
key location: dm-crypt
device:  /dev/nvm...
sector size:  512
offset:  0 sectors
size:    4194304 sectors
mode:    read/write

Ich kann das nicht nachvollziehen? Hat jemand ne Idee?

Moderiert von redknight:

Verschoben.

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7790

Und swapon bzw. cat /proc/swaps zeigt das auch als den verwendeten Swap an? Dann ist es zumindest mal nicht falsch…

D3M

(Themenstarter)
Avatar von D3M

Anmeldungsdatum:
28. Juni 2011

Beiträge: 29

1
2
3
4
5
6
7
swapon
NAME      TYPE      SIZE USED PRIO
/dev/dm-1 partition   2G 1,4G   -2

cat /proc/swaps
Filename				Type		Size		Used		Priority
/dev/dm-1                               partition	2097148		1479988		-2

Ich kann es halt nicht nachvollziehen, woher diese Infos kommen. Und ob nicht doch da irgendwo der Wurm drin ist. Daher dachte ich mir, ich frag mal hier nach.

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7790

Ja, kann ich dir leider auch nicht sagen. Ich richte mich nach dem, was mir das Terminal anzeigt…

Mylin

Avatar von Mylin

Anmeldungsdatum:
23. Juli 2024

Beiträge: 329

Kurze Frage zwischendurch, wieso wird kein zswap verwendet? Oder wird STD genutzt?

D3M

(Themenstarter)
Avatar von D3M

Anmeldungsdatum:
28. Juni 2011

Beiträge: 29

Mylin schrieb:

Kurze Frage zwischendurch, wieso wird kein zswap verwendet? Oder wird STD genutzt?

Weil zswap nicht standardmäßig installiert wird und auch nicht verschlüsselt ist. Das System hat 128Gig RAM. Ansicht brauch es gar kein Swap.

@rednight: Wie schon in der PM erwähnt, hat meiner Meinung nach dieser Thread unter "System einrichten und verwalten" nichts zu suchen. Ich fragte weder wie ich den SWAP einrichte, noch wie ich ihn verwalte. Anhand der config snippets von mir, sollte ersichtlich sein, dass der SWAP schon eingerichtet ist.

Die Frage ist explizit: Wie Ubuntu darauf kommt mit seinem eigenen "Security" Feature,dass der SWAP nicht verschlüsselt ist. Das ist sehr deutlich aus dem Subject und ebenfalls der Eingangsfrage ersichtlich. Ich würde es begrüßen, wenn der Thread wieder dahin kommt, wo er hingehört.

Zudem, sollte der SWAP wirklich nicht wie intendiert verschlüsselt sein, wäre das ein großes Sicherheitsproblem.

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7790

Kann ich dir leider nicht helfen.

Allerdings eine Sache die ich noch vergessen habe:

cryptoswap /dev/nvme... /dev/urandom

Da wird die Partition verschlüsselt ohne jeden Header (Verschlüsselung ja, LUKS nein). Die Partition hat somit keine UUID.

Bei /dev/sda, /dev/sdb, /dev/sdc kann sich die Reihenfolge verändern, ein cryptoswap /dev/sdb3 kann morgen sda3 oder sdc3 sein. Das funktioniert also nicht immer.

Bei /dev/nvme0, /dev/nvme1, /dev/nvme2 ist es das gleiche. Die vertauschen sich womöglich auch.

Solange du nur ein Laufwerk im System hast ist es kein Problem, fügst du jemals ein zweites hinzu, wird womöglich das falsche Gerät verwendet fürs cryptswap. Und wenn crypttab keinen zuverlässigen Sicherheitsmechanismus hat, wird davon sogar ein Dateisystem überschrieben/zerstört.

Es gibt nun udev-Devicenamen z.B. /dev/disk/by-id/nvme-Lexar_SSD_NM620_…seriennummer…-part3 und das ist dann fest auf dieses eine Gerät bezogen. Wäre besser das so in die crypttab zu schreiben.

Oder man nimmt den Trick aus dem Arch Wiki um der Partition doch noch eine UUID zu geben https://wiki.archlinux.org/title/Dm-crypt/Swap_encryption#UUID_and_LABEL

Oder du gibst dem Ding in der Partitionstabelle einen eindeutigen Namen und nimmst dann /dev/disk/by-partlabel/name. (geht nur bei GPT Partition)

Antworten |