Шиврование раздела /boot в Debian

0

2

Искал, но, к сожалению, ничего внятного о шифровании раздела /boot для Дебиана не нашел.
При установке дебиана можно создать и зашифровать все разделы прямо «из коробки», однако раздел boot остается открытым.

Пришла идея, раз уж есть полное шифрование винды, когда устанавливается загрузчик трукрипта, который прозрачно монтирует первый раздел и грузит загрузчик винды.

Возможно ли потом подмонтировать этот жесткий, открыть этот первый шифрованный раздел, удалить винду, и записать содержимое /boot?

Порядок действий может быть примерно такой:
Установка линуха с шифрованием и использованием LVM
/boot не шифрованный
/раздел LVM с шифрованием
Подмонтировать, списать содержимое /boot
Установить к примеру ХР в первый раздел, шифровать трукриптом.
Подмонтировать и вернуть содержимое /boot

Так вот вопрос, я понимаю, что явно нужно будет еще модифицировать загрузчик и возможно еще что-либо, и прокатит ли вообще эта концепция?

Ссылка

←	[voip]Подскажите решение

Массовая замена строки в файлах

→

Эм, прошу прощения, но что такого конфиденциального в /boot ? Или это паранойя просто?

GotF ★★★★★
(05.04.10 16:40:24 MSD)

Ссылка

Нахрена тебе бут шифровать? Боишься, что фсб конфиг ядра сопрёт?

~~Neko~~ ☆
(05.04.10 16:40:42 MSD)

Нужен загрузчик, поддерживающий шифрование. К.О.

shahid ★★★★★
(05.04.10 16:53:05 MSD)

Ссылка

Ответ на: комментарий от Neko 05.04.10 16:40:42 MSD

Да не особо параноя, но могут закладку в ядро сунуть к примеру.

Umberto ★☆
(05.04.10 17:35:24 MSD) автор топика

Ответ на: комментарий от Umberto 05.04.10 17:35:24 MSD

>Да не особо параноя, но могут закладку в ядро сунуть к примеру.

Да проще терморектальный криптоанализ, чем какие-то закладки к ядрам :)

Gary ★★★★★
(05.04.10 18:05:43 MSD)

Ссылка

Как уже было сказано, нужна программа/загрузчик которая будет расшифровывать содержание /boot. Иначе никак. И эта программа сама не будет зашифрована если вы только каким-то образом не исхитритесь пропатчить BIOS чтобы он умел её расшифровывать.

В винде «загрузчик трукрипта» тоже не зашифрован, и в него можно вставить закладки/логгер паролей. Аналогичную вешь в Linux можно реализовать так: grub грузит сильно урезанное ядро которое кроме чтения диска и его расшифрования ничего не умеет (=аналог «загрузчика трукрипта»). Само по себе это ядро-light не зашифрованно. А уже оно подключает зашифрованный /boot, грузит настоящее ядро и делает kexec. При этом ядро-light будет относительно небольшим и его можно разместить вне каких-либо разделов, так же как stage2 от GRUB. Но проблему того что злоумышленники могут вставить в него закладки это не снимает, поэтому смысла особого так поступать нет.

pupok ★★
(05.04.10 21:22:27 MSD)