Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
- Astra Linux Special Edition РУСБ.10015-17
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1
- Astra Linux Special Edition РУСБ.10015-16 исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12
Подкачка (свопинг) в Linux
SWAP – один из механизмов виртуальной памяти, при котором отдельные фрагменты памяти перемещаются из ОЗУ в так называемые области подкачки (swap area или swap space), расположенные на вторичном хранилище данных (отдельный дисковый раздел или просто файл в файловой системе), освобождая ОЗУ для загрузки других активных фрагментов памяти.
Более подробно о механизмах подкачки можно прочитать в Википедии или в Wikipedia или в документации.
Необходимость использования подкачки
Наличие области подкачки является важной составляющей системы управления памятью, и необходимо для нормального функционирования системы.
Получение резервного объема оперативной памяти не является основным назначением подкачки. Её основным назначением является обеспечение эффективного высвобождения и балансировка использования имеющейся памяти.
В Linux-системах существуют различные типы страниц оперативной памяти, каждый из которых имеет свои особенности, но для понимания нужности подкачки существенны два типа:
Страницы, содержимое которых можно восстановить, повторно прочитав это содержимое из файлов (страницы с командами исполняемых процессов, кеши их файловых данных), т.н. файловый кеш;
Страницы данных о распределении памяти между процессами, т.н. анонимные страницы, не имеющие исходных файлов.
И основное назначение области подкачки — это освобождать в оперативной памяти место для файлового кеша за счет выгрузки неактуальных анонимных страниц.Таким образом, удаление области подкачки не предотвратит увеличение общего количества дисковых операций при заполнении оперативной памяти, а просто заменит дисковые операции вытеснения анонимных страниц на повторные дисковые операции файлового чтения. Это не только менее эффективно, так как выбор страниц для обновления оказывается меньше, но, в свою очередь, также ведёт к ещё большему переполнению памяти.
Дополнительно область подкачки обычно используется для организации режимов сна (hibernation или suspend to disk). При входе в такие режимы в область подкачки сохраняется полная копия оперативной памяти. (В современных системах можно обеспечить режим сна без использования дискового раздела подкачки, с сохранением содержимого оперативной памяти в файлах).
Выбор и настройка параметров подкачки
Размещение областей подкачки: дисковый раздел или файл?
Astra Linux позволяет размещать области подкачки как в специально выделенных дисковых разделах, так и в файлах. Независимо от способа размещения, современные версии ядра обеспечивают примерно одинаковую скорость работы подкачки, определяя файлы подкачки, и используя прямой доступ к ним. При работе с дисковыми накопителями существенным фактором, негативно влияющим на скорость подкачки при работе с файлами может стать фрагментация этих файлов, поэтому для дисковых накопителей предпочтительным может быть использование дисковых разделов. При использовании твердотельных носителей фрагментация файлов безразлична. В любом случае, возможность динамически выделять, подключать, отключать и удалять файловые области подкачки позволяет рационально использовать дисковое пространство, изменяя размеры области подкачки по необходимости без прерывания работы системы.
При установке Astra Linux по умолчанию автоматически создается область подкачки в отдельном дисковом разделе. Проверить, где размещена (размещены) область (области) подкачки можно командой
Пример создания области подкачки в файле см. в статье Организация гибернации Astra Linux без использования дискового раздела подкачки.
При необходимости проверить фрагментацию файла можно командой filefrag:
sudo filefrag -v /example.swap
Уменьшить фрагментацию файла в файловой системе Ext4 можно командой e4defrag:
Размер областей подкачки
В общем случае, для Astra Linux правильным начальным выбором может являться объём области подкачки 2-3ГБ с последующим уточнением по итогам эксплуатации. Если предполагается использовать режим сна (hibernation или suspend to disk) с сохранением образа оперативной памяти, то нужный объём зависит от объёма оперативной памяти, и в таком случае хорошим первоначальным вариантом размера области подкачки является объём, равный объёму оперативной памяти плюс 2-3ГБ, а в при недостатке выделенной области использовать дополнительные области, размещаемые в файлах (порядок подключения и отключения файловых областей подкачки см. ниже).
Основным параметром настройки подкачки является значение параметра ядра vm.swappiness, определяющее объем свободной памяти (в процентах), при котором начинается вытеснение страниц. Проверить значение этого параметра можно командой
Настройка подкачки
По умолчанию значение параметра vm.swappiness равно 60, т.е. вытеснение страниц памяти в область подкачки начинается тогда, когда объём свободной памяти становится меньше 60%.
Считается, что данное значение хорошо работает для большинства систем. Изменить значение параметра vm.swappiness можно командой
Безопасность данных, находящихся в области подкачки
Страницы памяти, которые динамически копируются из оперативной памяти в область подкачки в процессе работы компьютера, могут содержать конфиденциальную информацию, не закрытую какими-либо защитными преобразованиями. Таким образом, наличие доступа на чтение к области подкачки создаёт угрозу утечки конфиденциальной информации.
Отдельную проблему с точки зрения безопасности представляет собой хранение в области подкачки содержимого оперативной памяти выключенных компьютеров. Копия содержимого оперативной памяти может остаться в области подкачки:
- при неожиданном отключении компьютера в результате аппаратного сбоя;
- при неожиданном отключении электропитания;
- и всегда остаётся там в компьютерах, находящихся в режиме сна.
При наличии физического доступа к оборудованию такие данные можно прочитать независимо от установленных дискреционных и мандатных ограничений .
Рекомендации по обеспечению безопасности области подкачки
В Astra Linux SE разделу подкачки, создаваемому при установке системы, автоматически присваивается метка безопасности с максимальными уровнями конфиденциальности и целостности и максимальным набором категорий доступа:Уровень конфиденциальности 3;
Уровень целостности 63;
Набор категорий доступа полный.
Таким образом при установке Astra Linux SE автоматически обеспечивается защита от чтения области подкачки непривилегированными пользователями.
Однако, у администратора системы есть возможность после установки добавить свои области подкачки (см. команды mkswap/swapon/swapoff, а также системные вызовы swapon()/swapoff()). При этом операционная система не проверяет установленные для добавляемой области подкачки права доступа, и администратору следует самостоятельно указать нужные ограничения дискреционных и мандатных прав доступа. Например, для размещения области подкачки в файле /swap_area можно использовать следующую последовательность команд:
# создаем файл размером 1Gb
sudo fallocate -l 1G /swap_area
# ограничиваем дискреционные права доступа
sudo chown root:root /swap_area
sudo chmod 600 /swap_area
# ограничиваем мандатные права доступа (только для Astra Linux Special Edition)
# - уровень конфиденциальности 3
# - уровень целостности 63
# - открыты все категории доступа
sudo pdpl-file 3:63:-1 /swap_area
# размечаем область подкачки
sudo mkswap /swap_area
# включаем область подкачки в работу
sudo swapon /swap_area
Для того, чтобы область подкачки автоматически включалась в работу после перезагрузки операционной системы следует добавить в файл /etc/fstab строчку с командой монтирования. Для монтирования достаточно указать имя файла (/swap_area):
Для гарантированного удаления информации из области подкачки при выводе этой области подкачки из работы можно использовать:
- для накопителей на магнитных дисках (применимо только в Astra Linux Special Edition):
- для файлов в дисковых разделах с файловой системой Ext2/Ext3/Ext4 – параметр монтирования файловой системы secdel в /etc/fstab;
- для разделов подкачки — инструмент командной строки swap-wiper с указанием имени раздела подкачки в качестве аргумента. Подробнее см. «Руководство администратора», п. 8.1).
- для твердотельных накопителей (см. Накопители информации с твердотельными носителями информации (SSD): особенности применения):
- для файлов в дисковых разделах с файловой системой Ext4 – параметр монтирования файловой системы discard в /etc/fstab;
для разделов подкачки – команду blkdiscard:
sudo blkdiscard /dev/sda5
Инструмент swap-wiper, входящий в состав Astra Linux Special Edition предназначен для стирания данных, находящихся в дисковых разделах подкачки, при выключении системы .
Этот инструмент доступен в файле /usr/lib/parsec/bin/swap-wiper и предназначен для автоматического стирания областей подкачки при выключении компьютера. Инструмент swap-wiper по умолчанию заблокирован в его файле настроек
Для использования инструмента следует в файле /etc/parsec/swap_wiper.conf установить значение атрибута ENABLED=Y, после чего инструмент будет автоматически применяться при выключении системы..
Установить атрибут ENABLED=Y можно с помощью текстового редактора, или в разделе "Политика очистки памяти" штатного графического инструмента управления безопасностью, доступного через графическое меню.
Для обеспечения надёжной защиты от несанкционированного доступа данных в областях подкачки рекомендуется использовать предусмотренную в Astra Linux возможность автоматического защитного преобразования данных дисков и областей подкачки.
Такое решение повышает нагрузку на процессор, но существенно повышает сохранность конфиденциальной информации как при использовании твердотельных носителей информации, так и при внезапном отключении компьютера или при нахождении компьютера в режиме сна.
В качестве дополнительной меры безопасности можно рекомендовать использование систем резервного электропитания, обеспечивающих при сбоях электропитания автоматическое штатное отключение компьютеров, включающее очистку областей подкачки.
В крайнем случае, при невозможности или, исходя из конкретной модели нарушителя, недостаточности применения описанных выше мер защиты следует полностью отключить механизмы подкачки, для чего выполнить
либо запрещение выгрузки страниц (значение 0 параметра ядра vm.swappiness):
Рекомендации по обеспечению безопасности ПО
При разработке собственного ПО
При разработке собственного ПО для защиты памяти, содержащей незащищенные конфиденциальные данные, следует применять системные вызовы mlock() и mlockall():
#include <sys/mman.h>
int mlock(const void *addr, size_t len);
int munlock(const void *addr, size_t len);
int mlockall(int flags);
int munlockall(void);
Вызовы mlock() и mlockall() блокируют часть или всё виртуальное адресное пространство процесса в оперативной памяти, предотвращая выгрузку страниц в область подкачки. Вызовы munlock() и munlockall() выполняют обратное действие, разрешая менеджеру памяти ядра при необходимости выгружать страницы в область подкачки. Подробности применения см.
При применении ПО сторонних разработчиков
При применении программ сторонних разработчиков для снижения вероятности выгрузки памяти процесса в область подкачки можно использовать механизм cgroups, позволяющий назначить отдельному процессу (группе процессов) групповой атрибут memory.swappiness с нулевым значением. Этот атрибут по смыслу в целом аналогичен описанному выше атрибуту ядра vm.swappiness, однако его нулевое значение не гарантирует полную невозможность выгрузки, так как настройки ядра имеют больший приоритет, чем настройки групп, и ядро может выгрузить такие процессы при дефиците памяти.
ПО ядра и безопасность подкачки
Память ядра (модулей ядра) не подлежит выгрузке в область подкачки, соответственно, не подвержена связанным с нахождением в области подкачки рискам.
Однако, уровень привилегий ядра позволяет осуществлять доступ к любым системным ресурсам, соответственно, модули ядра сами являются потенциальной угрозой конфиденциальности области подкачки.
В отношении модулей ядра следует применять общепринятые меры безопасности: использовать только подписанные модули ядра, полученные из доверенных источников, а при возможности — контролировать исходные тексты на наличие необычных системных вызовов. Дополнительной мерой защиты также является применение защитного преобразования данных.