====== Habilitando uma Swap Criptografada ======

Quando a memória disponível cai abaixo de um certo ponto, o kernel do Linux irá mandar o conteúdo das páginas de memória para o espaço da swap.

Este conteúdo pode incluir informações confidenciais, como senhas, nomes de usuário, PINS, informações bancárias ou outras informações de identidade. Esses dados geralmente estão em texto simples e, portanto, podem ser lidos sem esforço. A criptografia do espaço de swap do sistema protege seu conteúdo contra acesso não autorizado e ataques caso o acesso ao disco rígido seja comprometido ou removido fisicamente.

====== Configurando uma Swap Criptografada ======

<note important>A discussão a seguir usará várias designações de unidade e partição. Ao implementar os procedimentos, certifique-se de ajustá-los para se adequarem ao seu próprio sistema.</note>

As etapas a seguir podem ser usadas ao configurar inicialmente um sistema ou depois que o sistema já estiver em execução. Neste último caso, a primeira etapa necessária para criptografar a partição swap é desligando-a temporariamente. Feche todos os aplicativos desnecessários para liberar a memória usada e, assim, interromper o uso do espaço da swap. Embora muitos aplicativos possam ser configurados para não usar swap, isso não se aplica ao kernel. Se o espaço da swap ainda estiver sendo usado, você não conseguirá desligar a swap.

Embora não seja necessário, talvez a abordagem mais simples seja inicializar o sistema no modo de usuário único. Isso resulta em serviços mínimos em execução e um único shell de raiz.

A swap pode então ser desligada usando o seguinte comando:

'' # swapoff -a ''

Para garantir um espaço swap completamente limpo e estéril, você deve sobrescrever a partição swap usada anteriormente com dados aleatórios. Isso ajudará a evitar a recuperação de quaisquer dados gravados para swap antes do processo de criptografia. Existem várias maneiras de fazer isso.

<note warning>As etapas a seguir destruirão o conteúdo atual no dispositivo/partição especificado!</note>

Talvez o mais fácil seja usar o comando shred, que substitui o arquivo ou dispositivo especificado com dados aleatórios:

'' # shred -v /dev/sdaX ''

Como alternativa, sobrescrever o espaço com dados aleatórios de /dev/random ou /dev/urandom:

'' # dd if=/dev/random of=/dev/sdaX bs=512 ''

ou

'' # dd if=/dev/urandom of=/dev/sdaX bs=512 ''

<note>Usar /dev/urandom não é tão seguro, entretanto é significativamente mais rápido do que usar /dev/random.</note>

A próxima etapa é criar um arquivo, se ainda não existir, denominado crypttab em /etc. Os detalhes do crypttab podem ser encontrados na página do manual.

Uma entrada crypttab como segue cria um dispositivo de bloco criptografado chamado swap em /dev/mapper usando a partição /dev/sdX como o dispositivo de bloco de base e /dev/random como a senha de criptografia usando criptografia AES e vetores de inicialização variável.

'' swap /dev/sdaX /dev/random swap,cipher=aes-xts-essiv:sha256 ''

Você então precisa editar /etc/fstab para apontar para o dispositivo de bloco criptografado, /dev/mapper/swap ao invés de /dev/sdaX.

Por exemplo, uma entrada atual de:

'' /dev/sdaX swap swap defaults 0 0 ''

torna-se:

'' /dev/mapper/swap swap swap defaults 0 0 ''

====== Ativando Swap Criptografada ======

Agora você pode habilitar a swap criptografada reiniciando o sistema ou emitindo os seguintes comandos no prompt do console.

'' # cryptsetup -d /dev/random create swap /dev/sdaX ''

'' # mkswap /dev/mapper/swap ''

'' # swapon -a ''

Para obter informações detalhadas sobre comandos específicos, consulte as páginas individuais do manual (man).

====== Fontes ======

Fonte original: [[http://www.milner.ca/article/slackware-encrypted-swap|Slackware Encrypted Swap]] Originalmente escrito por [[wiki:user:nyteowl|W. Dean Milner]]

{{tag>howtos security encryption swap}}