LINUX.ORG.RU

Для чего шифровать /boot раздел?

 , ,


0

2

Есть ли смысл проводить все манипуляции из мануала?

Отличие от того что делает инсталлер Ubuntu при выборе разметки диска с шифрованием только в зашифрованном /boot разделе.

Насколько я понял, опасность только в том что злоумышленник может подсунуть кейлоггер в /boot и тем самым получить пароль от диска.

Мне важно только чтобы после отключения питания ssd не было возможности открыть / и /home без пароля, вероятность подмены /boot стремиться к нулю.

https://help.ubuntu.com/community/Full_Disk_Encryption_Howto_2019

However, this is much better than the Ubuntu installer Encrypt Disk option which only supports encrypting the operating system partition but leaves the boot-loader second stage file-system unencrypted and therefore vulnerable to tampering of the GRUB configuration, Linux kernel or more likely, the initial RAM file-system (initrd.img).

Разве что от атаки «сосед по комнате»: достаточно любопытный, чтобы залезть в машину, но достаточно ленивый, чтобы заморачиваться подменой загрузчика и, тем более, залезанием в железо.

Ecl
()

Насколько я понял, опасность только в том что злоумышленник может подсунуть кейлоггер в /boot и тем самым получить пароль от диска.

Да, но это не самый простой вариант, плюс оставляет следы. Я бы решал такую проблему скрытым видеонаблюдением и прослушкой — пароль не слишком сложно восстановить по звукам клавиш. Так что, если не рассматриваются столь сильно мотивированные злоумышленники, особого смысла создавать себе неудобства нет.

anonymous
()
Ответ на: комментарий от Ecl

Сценарии которые меня интересуют:

  1. десктоп с диском выдан во временное пользование, его когда то нужно вернуть вместе с диском, который может внезапно навернуться
  2. десктоп и диск мои, диск на гарантии и накрылся, надо сдать
  3. десктоп или диск в выключенном состоянии украден

Во всех трех сценариях незашифрованный /boot ничем злоумышленнику не поможет, пароля он не получит, доступ к руту, свапу и хоум соответственно тоже.

snovekk
() автор топика
Последнее исправление: snovekk (всего исправлений: 1)
Ответ на: комментарий от snovekk

Во всех трех сценариях незашифрованный /boot ничем злоумышленнику не поможет, пароля он не получит, доступ к руту, свапу и хоум соответственно тоже.

Изменив ядро/initrd, злоумышленник может запустить на твоем ноуте что угодно, включая трояны, которые отправят твою приватную информацию по сети. Не так ли?

MaZy ★★★★★
()
Ответ на: комментарий от Ecl

Если настроен Secure Boot, то смысл есть. Убунтовский shim подписан микрософтовскими ключами, он проверит подпись grub-а, т.е. подменить ничего не получится. Насколько я знаю, в убунте intiramfs никак не подписывается и не проверяется, т.е. при незашифрованном /boot и включенном secure boot этот любопытный сможет подменить initramfs, а при зашифрованном /boot - не сможет.

Понятно, что без Secure Boot это всё даёт очень ограниченную защиту и тут действительно смысла шифровать /boot нет.

Другой вопрос, что пользоваться какой-то мутной инструкцией 6-летней давности я бы не стал.

vbr ★★★★★
()
Последнее исправление: vbr (всего исправлений: 2)
Ответ на: комментарий от vbr

Насколько я знаю, в убунте intiramfs никак не подписывается и не проверяется

В 24.04 уже был доступен вариант установки с поддержкой TPM и подписанным всем, что не зашифровано. Без костылей из GRUB. Всё как у нормальных людей, в общем.

anonymous
()
Ответ на: комментарий от MaZy

Ключа от раздела с LVM у злоумышленника нет, что он вводить будет для его расшифровки с запущенного ядра?

snovekk
() автор топика
Последнее исправление: snovekk (всего исправлений: 1)
Ответ на: комментарий от MaZy

Тут главный вопрос в том, входит ли такой сценарий в модель угроз. Защита от evil maid — это хорошо, когда она есть по умолчанию и не требует усилий для настройки (как в Windows, Android). Но заморачиваться с ней самостоятельно (и с вероятностью 98% реализовать неправильно) я лично не вижу смысла, если ты не очень важная персона, а если да, то безопасностью твоей должны заниматься профессионалы.

anonymous
()
Ответ на: комментарий от MagicMirror

А зашифрованный бут ему как помешает то?

Шифрование должно гарантировать целостность всего раздела при условии, что ядро подписано, а устройство использует Secure Boot.

Если в разделе boot(efi) находится и используется только подписанное ядро(UKI), либо все загружаемые компоненты подписаны, то шифрование становится бессмысленным.

Вообще, тема безопасности сложная, я легко могу ошибаться, или упускать какие-то нюансы. Я говорил именно о том, что возможность модифицировать ядро или что-то на его уровне позволяет получить полный доступ к системе.

MaZy ★★★★★
()
Ответ на: комментарий от MaZy

Шифрование должно гарантировать целостность

Шифрование LUKS обычно обеспечивает только конфиденциальность. Аутентифицируемое шифрование делается с помощью dm-integrity. На мой взгляд, практичнее для целей аутентификации использовать Btrfs поверх LUKS (вообще жду поддержки fscrypt, чтобы избавиться от FDE).

anonymous
()