DM-Crypt/tmp verschlüsseln

Aus Gentoo Linux Wiki

Eine Einleitung und Hinweise zur Kernelkonfiguration sowie Installation von DM-Crypt und cryptsetup finden Sie im Artikel DM-Crypt. Dort sind auch weitere Anwendungsbeispiele verlinkt.

Da Anwenderprogramme im laufenden Betrieb temporäre Dateien im Verzeichnis /tmp ablegen, die u.U. schützenswerte Informationen enthalten können, sollte dieses Verzeichnis auch verschlüsselt vorliegen. Da dort abgelegte Dateien nach einen Neustart nicht mehr verfügbar sein müssen, kann die Verschlüsselung ähnlich wie beim Swap bei jedem Neustart mit einem Zufallsschlüssel durchgeführt werden.

Hinweis: Das verschlüsseln des /tmp- Verzeichnisses setzt natürlich voraus, dass für dieses Verzeichnis eine gesonderte Partition verwendet wird.

Der Sache nach läuft die Einbindung einer mit einem Zufallschlüssel verschlüsselten /tmp-Partition genau so ab wie die der verschlüsselten Swap-Partition. Der einzige Unterschied besteht darin, dass wir mit Hilfe der Optionen pre_mount und post_mount in /etc/conf.d/dmcrypt erst das Dateisystem erzeugen und nach dem mounten die Rechte für das Verzeichnis richtig setzen.

/etc/conf.d/dmcrypt

target=system-tmp
source='/dev/<TMP>'
options='-s 384 -d /dev/urandom -c aes-lrw-benbi -h sha256'
pre_mount='/sbin/mkfs.xfs ${dev}'
post_mount='chown root:root ${mount_point}; chmod 1777 ${mount_point}'

Nun wird bei jedem Start

1. die Partition /dev/<TMP> (Zeile "source")
2. mit einem 256bit langen Zufallsschlüssel aus /dev/urandom unter Verwendung des Ciphers aes-cbc-essiv:sha256 und des Hash-Algorithmus sha256 verschlüsselt (Zeile "options")
3. als Gerät /dev/mapper/system-tmp geöffnet (Zeile "mount")
4. mit dem XFS-Dateisystem formatiert (Zeile "pre_mount")
5. und nach dem Mounten mit den richtigen Rechten ausgestattet (Zeile "post_mount")

Die Partition wird ganz normal in die fstab eingebunden:

/etc/fstab

/dev/mapper/system-tmp /tmp xfs noatime,nodev,nodiratime,noexec,nosuid 0 0