<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif;font-size:small">Thanks Matt, this is a really nice improvement! I'll try it when I get back from vacation next week.</div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div>Tim<br></div></div></div>
<br><div class="gmail_quote">On Sat, May 16, 2015 at 2:04 PM, Matthew Dillon <span dir="ltr"><<a href="mailto:dillon@apollo.backplane.com" target="_blank">dillon@apollo.backplane.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">A more sophisticated encrypted swap using LUKS was already available and<br>
could be set up via the installer, capable of encrypting swap and dumps.<br>
Manual configuration through luks is a bit messy though.<br>
<br>
This feature provides a simpler way to just encrypt swap with a random key<br>
via /etc/fstab, perhaps as a preface to potentially implementing more<br>
sophisticated crypto features in /etc/fstab in the future that use dm-crypt<br>
directly and bypass LUKS.<br>
<br>
The master branch now has experimental automatic crypting of swap available.<br>
If using master, simply recompile and reinstall the /usr/src/sbin/swapon<br>
utility and then specify 'crypt' as a swap option in your /etc/fstab.<br>
For example:<br>
<br>
    # Device            Mountpoint      FStype  Options         Dump    Pass#<br>
    /dev/da0s1b         none            swap    sw,crypt,trim   0       0<br>
<br>
This will cause the appropriate /dev/mapper/swap-* crypto device to be created<br>
and swap operations to automatically be encrypted with a random key on boot.<br>
<br>
Note that this features doesn't help with kernel dumps since a random key<br>
is used on each boot.  Kernel dumps can still be used, unsecured, by<br>
specifying the base device (e.g. /dev/da0s1b) for dumpon.<br>
<br>
This feature is considered experimental for the moment as it has not yet been<br>
validated for low-memory or swapcache operation.  But it should work well.<br>
<br>
                                        -Matt<br>
<span class="HOEnZb"><font color="#888888">                                        Matthew Dillon<br>
                                        <<a href="mailto:dillon@backplane.com">dillon@backplane.com</a>><br>
</font></span></blockquote></div><br></div></div>