Brueder 21 час назад

Artix Linux. Установка с полным/частичным шифрованием

Сложный

12 мин

2.8K

Настройка Linux **nix *

Из песочницы

Комментарии 8

fk0 11.02.2023 в 17:21

Сразу комментарий: не зашифрованного загрузочного раздела не должно быть. Грузить следует с флешки носимой отдельно. Иначе загрузочный раздел может быть модифицирован и записать куда-то ключи шифрования при следующем доступе. Это касается как и физической безопасности, там и потенциальной работы ПО внутри зашифрованной системы. Бут-раздел не должен иметь возможность подмены ни снаружи, ни изнутри. Конечно, технология доверенной загрузки (TPM) призвана эту проблему решать, но её считай нет. Поэтому носитель с boot-разделом проще иметь внешним.

Brueder 11.02.2023 в 23:15

Полностью согласен. Я написал в статье о возможности эксплоита в незашифрованный загрузочный раздел. Такое решение, скорее, спасает от людей не имеющих знания в этой области, но получивших доступ, например, к твоему ноутбуку. Познания TMP и SecureBoot у меня нет, если заинтересуюсь, напишу продолжение этой статьи с использованием этих технологий.

fk0 11.02.2023 в 17:24

И LVM в этом всём не очень нужен. Он нужен когда 50 разделов и файловая система ресайзится умеет. А не когда /boot и /root. Если всё свалить на одну файловую систему lvm вообще не очень актуален.

larrabee 11.02.2023 в 18:54

Сейчас 2023, некоторые ноуты/материнки уже и не умеют грузится в легаси режиме.

Так что лучший сейчас подход - незашифрованный /boot, но подписанный инитрамфс + ядро Secure Boot + хранение части ключа в TPM. Ядро с инитрамфс пакуется в единое efi приложение и подписывается.

Это сделает невозможным скрытую модификацию бут раздела и сброс настроек UEFI для отключения secure boot.

fk0 12.02.2023 в 12:19

Вот это "пакуется и подсписывается" -- это невозможно же без разрешения третьей большой фирмы сделать? Ключи которой прошили в биос.

larrabee 12.02.2023 в 12:26

Конечно можно)

В любой UEFI за редким исключением, типа surface можно добавить свои ключи и Secure Boot прекрасно работает

ohno1052 11.02.2023 в 20:59

хороший ман, только уже сейчас идёт выпил поддержки mbr и legacy boot из систем, поэтому лучше делать через uefi gpt. и в реальном использовании отсутствие systemd приводит к многим проблемам с разным софтом и дополнительному времени на подстройку кусков системы, например pipewire не очень дружит с другими инитами.

Brueder 11.02.2023 в 23:06

Насчет отсутствия mbr и legacy boot в некоторых системах, согласен. В данном случае мне стоило добавить, что в целях безопасности некоторые люди используют coreboot.
Насчет отсутствия systemd. Если ты сознательно не используешь systemd, то ты готов решать проблемы несовместимости. Во многом это имхо о "не безопасной системе инициализации".

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.