LINUX.ORG.RU

Шиврование раздела /boot в Debian


0

2

Искал, но, к сожалению, ничего внятного о шифровании раздела /boot для Дебиана не нашел.
При установке дебиана можно создать и зашифровать все разделы прямо «из коробки», однако раздел boot остается открытым.

Пришла идея, раз уж есть полное шифрование винды, когда устанавливается загрузчик трукрипта, который прозрачно монтирует первый раздел и грузит загрузчик винды.

Возможно ли потом подмонтировать этот жесткий, открыть этот первый шифрованный раздел, удалить винду, и записать содержимое /boot?

Порядок действий может быть примерно такой:
Установка линуха с шифрованием и использованием LVM
/boot не шифрованный
/раздел LVM с шифрованием
Подмонтировать, списать содержимое /boot
Установить к примеру ХР в первый раздел, шифровать трукриптом.
Подмонтировать и вернуть содержимое /boot

Так вот вопрос, я понимаю, что явно нужно будет еще модифицировать загрузчик и возможно еще что-либо, и прокатит ли вообще эта концепция?

Эм, прошу прощения, но что такого конфиденциального в /boot ? Или это паранойя просто?

GotF ★★★★★ ()

Нахрена тебе бут шифровать? Боишься, что фсб конфиг ядра сопрёт?

Neko ()

Re: Шиврование раздела /boot в Debian

Нужен загрузчик, поддерживающий шифрование. К.О.

shahid ★★★★★ ()
Ответ на: комментарий от Neko

Да не особо параноя, но могут закладку в ядро сунуть к примеру.

Umberto ★☆ ()
Ответ на: комментарий от Umberto

>Да не особо параноя, но могут закладку в ядро сунуть к примеру.

Да проще терморектальный криптоанализ, чем какие-то закладки к ядрам :)

Gary ★★★★★ ()

Как уже было сказано, нужна программа/загрузчик которая будет расшифровывать содержание /boot. Иначе никак. И эта программа сама не будет зашифрована если вы только каким-то образом не исхитритесь пропатчить BIOS чтобы он умел её расшифровывать.

В винде «загрузчик трукрипта» тоже не зашифрован, и в него можно вставить закладки/логгер паролей. Аналогичную вешь в Linux можно реализовать так: grub грузит сильно урезанное ядро которое кроме чтения диска и его расшифрования ничего не умеет (=аналог «загрузчика трукрипта»). Само по себе это ядро-light не зашифрованно. А уже оно подключает зашифрованный /boot, грузит настоящее ядро и делает kexec. При этом ядро-light будет относительно небольшим и его можно разместить вне каких-либо разделов, так же как stage2 от GRUB. Но проблему того что злоумышленники могут вставить в него закладки это не снимает, поэтому смысла особого так поступать нет.

pupok ★★ ()

Сделай boot на флэшке, которая всегда с тобой)

CyberTribe ★★ ()
Ответ на: комментарий от Umberto

Да не особо параноя, но могут закладку в ядро сунуть к примеру.

Сделай /boot на флешке и носи ее с собой.

Morphine ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.