Полнодисковое шифрование LUKS(dm-crypt)

Автор Argos, 07 декабря 2024, 19:21:02

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

dr_faust

Цитата: Лия от 11 декабря 2024, 23:33:41
Цитата: dr_faust от 11 декабря 2024, 20:04:19А зачем, если проще все в шифрораздел? один раз видел инструкцию по использованию этого секуре в линуксе со своими самопальными ключами. Мудреная. Механизм шифрования субъективно понятнее.
Secure Boot не заменяет шифрование, а дополняет его, обеспечивая безопасность загрузчика - например, вы подписали загрузчик и ядро и теперь при их подмене система откажется загружаться.
А зачем, если загрузчик засунул в тот же шифрораздел?

Помню, этот секуре всячески продвигали мелкомягкие для того, чтобы ограничить загрузку ОС, но что-то у них не срослось и не пропихнули в ефи только свои ключи. Осадочек, впрочем, остался.
Devuan 4. Debian 12. LXDE.

Лия

Цитата: dr_faust от 12 декабря 2024, 12:35:38А зачем, если загрузчик засунул в тот же шифрораздел?
А как оно тогда загружаться будет? :)
Куда-то же надо вводить пароль от шифрораздела (в загрузчик) :)

dzhoser

На каждое действие найдется противодействие. Ключи шифрования Security Boot можно перехватить спец оборудованием, так как они передаются в незашифрованном виде. Luks имеет в своей реализации недостатки и может быть расшифрован. Подробнее тут
А проблем с шифрованием вы точно отгребете например при повреждении фс.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Лия

#18
Цитата: dzhoser от 12 декабря 2024, 12:58:43Luks имеет в своей реализации недостатки и может быть расшифрован. Подробнее тут
Это не проблема LUKS, это и есть атака evil maid
https://en.wikipedia.org/wiki/Evil_maid_attack

ЦитироватьПроблема состоит в том, что атакующий может незаметно вмешаться в цепь загрузки ОС и вынудить систему выдать ключи шифрования, как только она их получит при очередном запуске.

12 декабря 2024, 13:07:04
Цитата: dzhoser от 12 декабря 2024, 12:58:43А проблем с шифрованием вы точно отгребете например при повреждении фс.
При обычном сценарии (отключение электричества) зашифрованный раздел не повредится, а файловую систему восстановит fsck.

12 декабря 2024, 13:09:37
Ну и делать регулярные бэкапы рекомендуется вне зависимости от наличия шифрования :)

12 декабря 2024, 13:13:37
Цитата: dzhoser от 12 декабря 2024, 12:58:43Ключи шифрования Security Boot можно перехватить спец оборудованием, так как они передаются в незашифрованном виде.
На то они и открытые ключи :)

dr_faust

Почитал. Оказывается секюре подписыает не только vmlinuz и initrd.img в /boot, но и загрузчик из раздела esp.

Тогда А) /boot в шифрокойтейнер, тот же где и система, или на отдельном разделе. Б) загрузчик в esp подписать. Правда как это сделать... Придется почитать и попробовать на системе, которую не жалко.
Devuan 4. Debian 12. LXDE.

Лия

#20
https://wiki.debian.org/SecureBoot

12 декабря 2024, 15:30:32
Вот у Арча хорошая документация - https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot :)

dr_faust

Цитата: dzhoser от 12 декабря 2024, 12:58:43На каждое действие найдется противодействие. Ключи шифрования Security Boot можно перехватить спец оборудованием, так как они передаются в незашифрованном виде. Luks имеет в своей реализации недостатки и может быть расшифрован. Подробнее тут
А проблем с шифрованием вы точно отгребете например при повреждении фс.
Еще раз перечитал статью на хабре.
Сложилось впечатление, что ключевым является доступ к интернету, чтобы передать мастер-ключ. В том примере проблем нет, так как пропатчил не загручик, а на уровне системы. И то вопрос сможет ли подключиться, так как открытых беспарольных вайфаев сейчас мягко говоря маловато.
А grub удасться так же пропатчить? Еще никогда не приходилось решать задачи "прикнули интернет к грубу".
Или в данном случае нужно как-то сохнарить мастер-ключ локально на машине и в незашифрованном виде?
Devuan 4. Debian 12. LXDE.

dzhoser

Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Argos

#23
Цитата: dzhoser от 10 декабря 2024, 03:26:141. Secure Delete Tools сократит срок службы ssd

Тогда можно же создать swap в уже шифрованном разделе.
Примерно так хочу разделить, есть ли какие-то проблемы? Есть вопрос только на счёт /boot, почему то кажется что нужно /boot/efi. При автоматической разметки создается раздел /boot/efi. Также hdd, его хочу сделать в виде одного раздела(к примеру, /data ), но надо ли его куда-то монтировать?


dr_faust

#24
 Argos, да, swap можно на отдельном томе lvm внутри шифрораздела. Еще можно и просто файлом положить внутри шифрораздела. Выше Лия говорила, что можно при каждом сеансе создавать временный файл swap в оперативке.

/boot/efi - точка монтирования esp-раздела. Того, что в efi-gpt вместо mbr-записи.
/boot - это другое. Там лежат образ ядра, образ временной фс для его запуска и т.д.

13 декабря 2024, 21:56:30
Цитата: Argos от 13 декабря 2024, 17:05:49
Цитата: dzhoser от 10 декабря 2024, 03:26:141. Secure Delete Tools сократит срок службы ssd
Также hdd, его хочу сделать в виде одного раздела(к примеру, /data ), но надо ли его куда-то монтировать?


После установки ручками прописать его автомонтирование в fstab и, если он шифрованный, в crypttab. Монтировать куда угодно. Можно в хомяке создать отдельную директорию и монтировать к нему. Можно в /mnt. Можно в /media/user.
Devuan 4. Debian 12. LXDE.

Argos

#25
Цитата: dr_faust от 13 декабря 2024, 21:52:10Argos, да, swap можно на отдельном томе lvm внутри шифрораздела. Еще можно и просто файлом положить внутри шифрораздела. Выше Лия говорила, что можно при каждом сеансе создавать временный файл swap в оперативке.

/boot/efi - точка монтирования esp-раздела. Того, что в efi-gpt вместо mbr-записи.
/boot - это другое. Там лежат образ ядра, образ временной фс для его запуска и т.д.

13 декабря 2024, 21:56:30
Цитата: Argos от 13 декабря 2024, 17:05:49
Цитата: dzhoser от 10 декабря 2024, 03:26:141. Secure Delete Tools сократит срок службы ssd
Также hdd, его хочу сделать в виде одного раздела(к примеру, /data ), но надо ли его куда-то монтировать?


После установки ручками прописать его автомонтирование в fstab и, если он шифрованный, в crypttab. Монтировать куда угодно. Можно в хомяке создать отдельную директорию и монтировать к нему. Можно в /mnt. Можно в /media/user.

Спасибо :)

14 декабря 2024, 02:28:38
Цитата: dr_faust от 13 декабря 2024, 21:52:10/boot/efi - точка монтирования esp-раздела. Того, что в efi-gpt вместо mbr-записи.


Я такой путь не указывал при создании раздела, а просто выбрал ESP в меню. Получается сам куда надо смонтировался? А нужен ли мне /boot отдельно(да и впринципе нужен ли), в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.




14 декабря 2024, 02:40:11
Цитата: Argos от 14 декабря 2024, 01:56:41А нужен ли мне /boot отдельно(да и впринципе нужен ли), в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.

Как я понял его отдельно выносят только если:
1. Больше одной OС.
2. Когда нужно незашифрованное место, чтобы можно было загрузиться

НО ESP раздел же у меня и так не шифруется...

dr_faust

Цитата: Argos от 14 декабря 2024, 01:56:41в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.

У меня в esp(правдапри отключенном режиме секюре боот) ядро, временная рф лежат таки в /boot. А не esp разделе. Debian/devuan.
Devuan 4. Debian 12. LXDE.

Лия

Цитата: Argos от 14 декабря 2024, 01:56:41А нужен ли мне /boot отдельно(да и впринципе нужен ли), в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.
$ ls /boot
config-6.1.0-27-amd64  config-6.1.0-28-amd64  efi  grub  initrd.img-6.1.0-27-amd64  initrd.img-6.1.0-28-amd64  System.map-6.1.0-27-amd64  System.map-6.1.0-28-amd64  vmlinuz-6.1.0-27-amd64  vmlinuz-6.1.0-28-amd64
$ ls /boot/efi
 EFI  'System Volume Information'
$ ls /boot/efi/EFI
debian
$ ls /boot/efi/EFI/debian
BOOTX64.CSV  fbx64.efi  grub.cfg  grubx64.efi  mmx64.efi  shimx64.efi
/boot/efi (загрузчик) отдельным разделом
/boot (ядро) внутри шифрораздела

Argos

Цитата: Лия от 14 декабря 2024, 14:47:59
Цитата: Argos от 14 декабря 2024, 01:56:41А нужен ли мне /boot отдельно(да и впринципе нужен ли), в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.
$ ls /boot
config-6.1.0-27-amd64  config-6.1.0-28-amd64  efi  grub  initrd.img-6.1.0-27-amd64  initrd.img-6.1.0-28-amd64  System.map-6.1.0-27-amd64  System.map-6.1.0-28-amd64  vmlinuz-6.1.0-27-amd64  vmlinuz-6.1.0-28-amd64
$ ls /boot/efi
 EFI  'System Volume Information'
$ ls /boot/efi/EFI
debian
$ ls /boot/efi/EFI/debian
BOOTX64.CSV  fbx64.efi  grub.cfg  grubx64.efi  mmx64.efi  shimx64.efi
/boot/efi (загрузчик) отдельным разделом
/boot (ядро) внутри шифрораздела


Понял, спасибо