Das
/tmp-Verzeichnis und der SWAP Bereich können unter Umständen persönliche Informationen enthalten, die im Verlauf der Arbeit ausgelagert wurden. Wenn eine komplette Verschlüsselung des Systems nicht möglich ist, sollte man verhindern, das lesbare Datenrückstände in diesen Bereichen verbleiben.
Das Verzeichnis
/tmp kann man im RAM des Rechners ablegen, wenn dieser hinreichend groß dimensioniert ist. Mit dem Ausschalten des Rechners sind alle Daten verloren. Um diese Variante zu realisieren bootet man den Rechner im abgesicherten Mode, beendet die grafische Oberfläche (X-Server) und löscht alle Dateien in
/tmp. In der Datei
/etc/fstab wird folgender Eintrag ergänzt:
tmpfs /tmp tmpfs defaults,size=256m 0 0
Die Bereiche SWAP und
/tmp Bereiche können im Bootprozess als verschlüsselte Partitionen mit einem zufälligen Passwort initialisiert und eingebunden werden. Mit dem Ausschalten des Rechners ist das Passwort verloren und ein Zugriff auf diese Daten nicht mehr möglich.
Achtung: Suspend-to-RAM und Suspend-to-Disk funtionieren mit einer verschlüsselten SWAP-Partition noch nicht.
Debian GNU/Linux und Ubuntu
Debian und Ubuntu enthalten ein Init-Script, welches eine einfache Verschlüsselung der swap und /tmp Bereiche ermöglicht, wenn diese auf einer eigenen Partition liegen.
In der Datei
/etc/crypttab sind die folgenden Zeilen hinzuzufügen, wobei
/dev/hda5 und
/dev/hda8 durch die jeweils genutzten Partitionen zu ersetzen sind:
cryptswp /dev/hda5 /dev/urandom swap
crypttmp /dev/hda8 /dev/urandom tmp
In der Datei
/etc/fstab, welche die beim Bootprozess zu mountenden Partitionen enthält, sind die Einträge für swap und /tmp anzupassen:
/dev/mapper/cryptswp none swap sw 0 0
/dev/mapper/crypttmp /tmp ext2 defaults 0 0
Anschließend ist der Rechner neu zu booten und beide Partitionen sind verschlüsselt.
Achtung: Die Partition für TMP darf kein Dateisystem enthalten! Wenn die Init-Script eine Partition mit Dateisystem vorfinden, wird das verschlüsselte TMP nicht angelegt und der X-Server startet nicht mehr.
Soll eine bereits verwendete TMP-Partionion verschlüsselt werden, ist diese erst einmal nach dem Beenden des X-Servers(!) zu dismounten und zu überschreiben:
# umount /tmp
# dd if=/dev/zero of=/dev/hda8