Полнодисковое шифрование LUKS(dm-crypt)

[dr_faust]

А зачем, если проще все в шифрораздел? один раз видел инструкцию по использованию этого секуре в линуксе со своими самопальными ключами. Мудреная. Механизм шифрования субъективно понятнее.

Secure Boot не заменяет шифрование, а дополняет его, обеспечивая безопасность загрузчика - например, вы подписали загрузчик и ядро и теперь при их подмене система откажется загружаться.

А зачем, если загрузчик засунул в тот же шифрораздел?

Помню, этот секуре всячески продвигали мелкомягкие для того, чтобы ограничить загрузку ОС, но что-то у них не срослось и не пропихнули в ефи только свои ключи. Осадочек, впрочем, остался.

[Лия]

А зачем, если загрузчик засунул в тот же шифрораздел?

А как оно тогда загружаться будет?
Куда-то же надо вводить пароль от шифрораздела (в загрузчик)

[dzhoser]

На каждое действие найдется противодействие. Ключи шифрования Security Boot можно перехватить спец оборудованием, так как они передаются в незашифрованном виде. Luks имеет в своей реализации недостатки и может быть расшифрован. Подробнее тут
А проблем с шифрованием вы точно отгребете например при повреждении фс.

[Лия]

Luks имеет в своей реализации недостатки и может быть расшифрован. Подробнее тут

Это не проблема LUKS, это и есть атака evil maid
https://en.wikipedia.org/wiki/Evil_maid_attack

Проблема состоит в том, что атакующий может незаметно вмешаться в цепь загрузки ОС и вынудить систему выдать ключи шифрования, как только она их получит при очередном запуске.

12 декабря 2024, 13:07:04

А проблем с шифрованием вы точно отгребете например при повреждении фс.

При обычном сценарии (отключение электричества) зашифрованный раздел не повредится, а файловую систему восстановит fsck.

12 декабря 2024, 13:09:37
Ну и делать регулярные бэкапы рекомендуется вне зависимости от наличия шифрования

12 декабря 2024, 13:13:37

Ключи шифрования Security Boot можно перехватить спец оборудованием, так как они передаются в незашифрованном виде.

На то они и открытые ключи

[dr_faust]

Почитал. Оказывается секюре подписыает не только vmlinuz и initrd.img в /boot, но и загрузчик из раздела esp.

Тогда А) /boot в шифрокойтейнер, тот же где и система, или на отдельном разделе. Б) загрузчик в esp подписать. Правда как это сделать... Придется почитать и попробовать на системе, которую не жалко.

[Лия]

https://wiki.debian.org/SecureBoot

12 декабря 2024, 15:30:32
Вот у Арча хорошая документация - https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot

[dr_faust]

На каждое действие найдется противодействие. Ключи шифрования Security Boot можно перехватить спец оборудованием, так как они передаются в незашифрованном виде. Luks имеет в своей реализации недостатки и может быть расшифрован. Подробнее тут
А проблем с шифрованием вы точно отгребете например при повреждении фс.

Еще раз перечитал статью на хабре.
Сложилось впечатление, что ключевым является доступ к интернету, чтобы передать мастер-ключ. В том примере проблем нет, так как пропатчил не загручик, а на уровне системы. И то вопрос сможет ли подключиться, так как открытых беспарольных вайфаев сейчас мягко говоря маловато.
А grub удасться так же пропатчить? Еще никогда не приходилось решать задачи "прикнули интернет к грубу".
Или в данном случае нужно как-то сохнарить мастер-ключ локально на машине и в незашифрованном виде?

[dzhoser]

Следующая генерация https://www.securitycode.ru/products/pak_sobol/

[Argos]

1. Secure Delete Tools сократит срок службы ssd

Тогда можно же создать swap в уже шифрованном разделе.
Примерно так хочу разделить, есть ли какие-то проблемы? Есть вопрос только на счёт /boot, почему то кажется что нужно /boot/efi. При автоматической разметки создается раздел /boot/efi. Также hdd, его хочу сделать в виде одного раздела(к примеру, /data ), но надо ли его куда-то монтировать?

[dr_faust]

 Argos, да, swap можно на отдельном томе lvm внутри шифрораздела. Еще можно и просто файлом положить внутри шифрораздела. Выше Лия говорила, что можно при каждом сеансе создавать временный файл swap в оперативке.

/boot/efi - точка монтирования esp-раздела. Того, что в efi-gpt вместо mbr-записи.
/boot - это другое. Там лежат образ ядра, образ временной фс для его запуска и т.д.

13 декабря 2024, 21:56:30

1. Secure Delete Tools сократит срок службы ssd

Также hdd, его хочу сделать в виде одного раздела(к примеру, /data ), но надо ли его куда-то монтировать?

После установки ручками прописать его автомонтирование в fstab и, если он шифрованный, в crypttab. Монтировать куда угодно. Можно в хомяке создать отдельную директорию и монтировать к нему. Можно в /mnt. Можно в /media/user.

[Argos]

Argos, да, swap можно на отдельном томе lvm внутри шифрораздела. Еще можно и просто файлом положить внутри шифрораздела. Выше Лия говорила, что можно при каждом сеансе создавать временный файл swap в оперативке.

/boot/efi - точка монтирования esp-раздела. Того, что в efi-gpt вместо mbr-записи.
/boot - это другое. Там лежат образ ядра, образ временной фс для его запуска и т.д.

13 декабря 2024, 21:56:30

1. Secure Delete Tools сократит срок службы ssd

Также hdd, его хочу сделать в виде одного раздела(к примеру, /data ), но надо ли его куда-то монтировать?

После установки ручками прописать его автомонтирование в fstab и, если он шифрованный, в crypttab. Монтировать куда угодно. Можно в хомяке создать отдельную директорию и монтировать к нему. Можно в /mnt. Можно в /media/user.

Спасибо

14 декабря 2024, 02:28:38

/boot/efi - точка монтирования esp-раздела. Того, что в efi-gpt вместо mbr-записи.

Я такой путь не указывал при создании раздела, а просто выбрал ESP в меню. Получается сам куда надо смонтировался? А нужен ли мне /boot отдельно(да и впринципе нужен ли), в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.




14 декабря 2024, 02:40:11

А нужен ли мне /boot отдельно(да и впринципе нужен ли), в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.

Как я понял его отдельно выносят только если:
1. Больше одной OС.
2. Когда нужно незашифрованное место, чтобы можно было загрузиться

НО ESP раздел же у меня и так не шифруется...

[dr_faust]

в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.

У меня в esp(правдапри отключенном режиме секюре боот) ядро, временная рф лежат таки в /boot. А не esp разделе. Debian/devuan.

[Лия]

А нужен ли мне /boot отдельно(да и впринципе нужен ли), в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.

Код Выделить Развернуть

$ ls /boot
config-6.1.0-27-amd64  config-6.1.0-28-amd64  efi  grub  initrd.img-6.1.0-27-amd64  initrd.img-6.1.0-28-amd64  System.map-6.1.0-27-amd64  System.map-6.1.0-28-amd64  vmlinuz-6.1.0-27-amd64  vmlinuz-6.1.0-28-amd64
$ ls /boot/efi
 EFI  'System Volume Information'
$ ls /boot/efi/EFI
debian
$ ls /boot/efi/EFI/debian
BOOTX64.CSV  fbx64.efi  grub.cfg  grubx64.efi  mmx64.efi  shimx64.efi
/boot/efi (загрузчик) отдельным разделом
/boot (ядро) внутри шифрораздела

[Argos]

А нужен ли мне /boot отдельно(да и впринципе нужен ли), в ESP же уже есть ядро(его образ) и загрузчик или я опять путаю.

Код Выделить Развернуть

$ ls /boot
config-6.1.0-27-amd64  config-6.1.0-28-amd64  efi  grub  initrd.img-6.1.0-27-amd64  initrd.img-6.1.0-28-amd64  System.map-6.1.0-27-amd64  System.map-6.1.0-28-amd64  vmlinuz-6.1.0-27-amd64  vmlinuz-6.1.0-28-amd64
$ ls /boot/efi
 EFI  'System Volume Information'
$ ls /boot/efi/EFI
debian
$ ls /boot/efi/EFI/debian
BOOTX64.CSV  fbx64.efi  grub.cfg  grubx64.efi  mmx64.efi  shimx64.efi
/boot/efi (загрузчик) отдельным разделом
/boot (ядро) внутри шифрораздела

Понял, спасибо