web-dev-qa-db-ja.com

18.04でスワップ暗号化を設定するにはどうすればよいですか?

物事は時間とともに変化します。このトピックで見つけた最新の質問は2014年のもので、14.04を参照しているようです。 18.04サーバーを実行しています。スワップ暗号化を設定する現在の方法は何ですか?優先プロセスは同じですか?

要件は、ブートクリアスワップでキーを作成し、スワップの暗号化を有効にすることです。シャットダウン/再起動時に、キーを忘れてください。

私が指摘しているドキュメントは、デスクトップ/ラップトップ向けであり、休止状態に焦点を当てており、起動時にパスワードの入力を強制するため、サーバーに適したオプションではありません。

以下のコメントで私は提案しました:

  • ecryptfs-setup-swap
  • cryptsetup

このリストに現在不明な他のオプションを追加する場合、どちらが好ましい方法ですか?このサーバーは約5年続くと予想されます。ある人が他の人よりも優れていますか?どうやって?

1
Paul Chubb

Bionic 18.04の時点でスワップを暗号化するための2つの主なアプローチは、cryptsetup/LUKSまたはecrypt *ツールを使用することです。

Canonicalのウィルクック(techradar.com/news/ubuntu-bionic-beaver-1804-lts-has-landed/6)によると、18.04のリリースで暗号化ツールセットがメインからユニバースに移動しました。この理由は、ツールが以前のレベルの開発とサポートを開発者から受けていなかったため、徐々に品質と価値が失われていたためです。基本的に、Canonicalはこれらのツールに長期的には自信を持っていません。何か変更がなければ、優先されるべきではないと言っても安全です。

指摘されているように、cryptsetup/LUKSツールは、別のユースケースではありますが、現在のドキュメントに含まれています。これらはリポジトリのメインラインにもあり、上記リンクのtechradarの記事によると、Ubuntuエコシステムの第一級市民となっています。

LUKSはカーネルベースの暗号化スキームです。一般に、カーネルに移行されるものは、単に長期的であり、サポートと見なされるため、最初の選択肢と見なされます。カーネルベースの機能に置き換わる多くのユーザースペースプロジェクトがあります。同時に、カーネルベースの機能は、単にツリー上で死ぬのではなく、置き換えられる傾向があります。 IPChainsは一例です。初期のカーネルベースのファイアウォールでした。 IPTables/Netfilterに置き換えられました。

乾杯ポール

1
Paul Chubb