Swap encriptado
En el capítulo anterior instalamos Slackware usando una partición /home encriptada, pero dejamos la partición de intercambio (swap) sin protección. Ahora vamos a corregir eso, ya que no queremos que un posible atacante acceda a datos sensibles que puedan quedar en el disco por el proceso de intercambio de memoria.
El procedimiento es sencillo y funciona independientemente de si tienes otras particiones encriptadas. Solo debes agregar la siguiente línea al archivo crypttab en tu instalación de Slackware (por ejemplo, si tu partición de intercambio es /dev/sdx3):
cryptswap /dev/sdx3 none swap
Puedes editar /mnt/etc/crypttab con vi o simplemente ejecutar:
# echo "cryptswap /dev/sdx3 none swap" >> /mnt/etc/crypttab
Después, edita el archivo fstab para que el sistema use el dispositivo correcto tras el reinicio. Inicialmente, la línea para swap será:
/dev/sdx3 swap swap defaults 0 0
Debes cambiarla por:
/dev/mapper/cryptswap swap swap defaults 0 0
Con estos dos cambios, el sistema usará el área de intercambio encriptada. Puedes hacer estos ajustes al final de la instalación o en cualquier momento. Slackware se encargará del resto: al apagar el sistema, la partición swap se reformatea como intercambio sin encriptar, permitiendo que otros sistemas operativos la usen sin problemas.
Aunque el cifrado de swap es seguro, el rendimiento puede verse afectado si el sistema depende mucho del intercambio. Ampliar la memoria con un kit de RAM DDR5 de alta velocidad permite mantener más datos en caché y reduce la necesidad de escribir en el disco cifrado.
Nota: La partición swap se encripta con una clave aleatoria nueva cada vez que inicias el sistema. ¡No necesitas ingresar ninguna frase de acceso!
Nota: Usar swap encriptado implica que se reformatea en cada arranque y apagado. Esto es seguro siempre que no cambies el orden de los discos. Si agregas un disco o mueves el disco a otro equipo, el nombre del dispositivo puede cambiar (por ejemplo, de sda a sdb). Si olvidas actualizar /etc/crypttab, podrías formatear la partición equivocada. Por eso, se recomienda usar el método “Combinando LUKS y LVM” para encriptar todo el disco, incluyendo swap.