Вопросы Теги

Как действительно предварительно загружается, аутентификация с шифрованием диска работают технически?

Во-первых, не делайте ничего разрушительного, пока Вы не понимаете точно, что продолжается. Например, не работать e2fsck без -n на устройстве, если Вы не абсолютно уверены, что устройство содержит ext2/ext3/ext4 файловую систему и что Вы имеете возможность восстанавливать его.

Прежде, чем рискнуть чем-либо разрушительным, я рекомендую сделать копию неструктурированных дисков. Получите диск, который это, по крайней мере, как большое, и скопируйте все это:

cat /dev/sdd

(где диск для сохранения /dev/sdb и Вы хотите перезаписать /dev/sdd — очень бойтесь понимать одну букву превратно!).

/dev/sdb кажется, находится в непоследовательном состоянии. По-видимому, это имеет таблицу разделов, которая указывает, что существует раздел /dev/sdb1, и в то же время это имеет файловую систему на целом диске, а не на разделе. Если существует действительно файловая система на целом диске, не должно быть таблицы разделов. Учитывая, что Вы уже сделали что-то потенциально разрушительное, я рекомендую попытаться копировать все файлы от диска. Смонтируйте его как только для чтения:

mkdir /media/b
mount -r -t ext4 /dev/sdb /b
cp -a /media/b /some/place/you/have/enough/space

/dev/sdc1 содержит физический том LVM. Необходимо собрать этот объем. На самом деле система уже, возможно, сделала это; данные находятся на логическом томе, не непосредственно на разделе. Выполненный lvs видеть, какие логические тома доступны.

mkdir /media/c
lvs   # You'll probably see a line with "  volumegroupname    logicalvolumename"
mount -r -t ext4 /dev/mapper/volumegroupname-logicalvolumename /media/c

Если lvs ничего не показывает, необходимо будет активировать объемы сначала. Выполненный vgs видеть список доступных групп объема, vgchange -ay volumegroupname активировать группу объема, lvchange -ay volumegroupname/logicalvolumename активировать логический том. Если Вы нуждаетесь в помощи, отправляете вывод pvs, vgs и lvs.

Можно попытаться восстановить структуру файловой системы даже если e2fsck не справляется. Но это требует глубоких знаний файловой системы. Даже профессионал может или не может стать далеким, в зависимости от точно, какие биты были перезаписаны. TestDisk является средством восстановления файловой системы; попытайтесь развязать его на своем диске.

Если Вам не удается восстановить файловую систему, пойти ловить рыбу для отдельных файлов. Это может быть легко или трудно в зависимости от того, какие виды файлов Вы после и как диск размечается. Благоприятный случай является большими видеофайлами, которые были все записаны сразу (таким образом, каждый файл имеет распознаваемый заголовок и, вероятно, будет не фрагментирован). Неблагоприятный случай является деревом исходного кода, где у Вас будет много версий каждого файла (все кроме одного удаленного), и даже связывающиеся данные файла с именами являются частью трудности.

Существуют инструменты, которые идут, ища распознаваемые файлы в поврежденной файловой системе (или стертые файлы), главным образом изображения и видео и звуки. Веб-сайт TestDisk имеет список дистрибутивов восстановления данных; CAINE, в частности, является живым распределением, специализированным на судебной экспертизе.

6
16.06.2012, 18:54
3 ответа

Если целый диск шифруется, и некоторый инструмент перед начальной загрузкой просит, чтобы пользователь ключ дешифровал его, разве который не означает, что этот инструмент должен работать под ОС, которую это собирается загрузить?

Да, в значительной степени. Основанное на аппаратных средствах полное шифрование диска делает это: шифрование обрабатывается полностью устройством (жесткий диск / флэш-память) или возможно в контроллере вдоль продвижения цепочки к физическому устройству (устройствам) и не "видимо" к ОС.
С этим ОС делает ввод-вывод точно как он, был бы, если это имело дело с плоскостью, незашифрованным устройством, волшебство происходит в аппаратных средствах (и/или встроенное микропрограммное обеспечение - "ниже" ОС в любом случае).

Если нет такого инструмента, разве который не означает, что инструмент дешифрования так или иначе должен передать информацию о дешифровании ОС на начальной загрузке?

Должна была бы быть некоторая форма передачи информации действительно, если шифрование не может быть сделано "под" ОС (или как выше, или возможно использование методов виртуализации – но затем Вы сортируете, имеют два (или больше) выполнение Ose). И да, который означает, перекрестная ОС тверда.
Вам также будет нужен код boostrap (загрузчик по крайней мере), чтобы быть незашифрованными, если у Вас не будет помощи аппаратных средств/встроенного микропрограммного обеспечения.

Статья шифрования диска Википедии имеет больше об этом.

5
27.01.2020, 20:24

Если у Вас есть аппаратные средства (или более точно встроенное микропрограммное обеспечение, т.е. BIOS) поддержка зашифрованных дисков, то можно зашифровать полный диск со встроенным микропрограммным обеспечением. Существуют оборотные стороны к выполнению этого: нет многих компьютеров вокруг того шифрования диска поддержки, и оно связывает Вас с конкретным встроенным микропрограммным обеспечением (или хуже, если Ваш компьютер имеет TPM, и ключ шифрования находится в TPM, оно связывает Вас с этой конкретной материнской платой, если Вы не создали резервную копию ключа шифрования хранилища).

Если операционная система делает шифрование, то должно быть небольшое пространство на диске, который не шифруется, где начальные части операционной системы хранятся. Общая конфигурация с Linux должна иметь отдельный открытый текст /boot раздел, и зашифровать любой раздел. “Полное шифрование диска” является чем-то вроде неправильного употребления: это обычно используется для значения “полного шифрования объема”, где объем обычно является разделом, а не диском. Полное шифрование диска состоит в том, когда Вы не шифруете каждый файл (или по крайней мере дерево каталогов) отдельно.

В соответствии с Linux, стандартный инструмент для полного шифрования диска является dmcrypt. Это доступно во всех основных дистрибутивах и интегрированное во многих установщиках.

4
27.01.2020, 20:24

Да, в Grub2 раздел /boot может быть прописан LUKами:

  • /boot как папка на / на LUKs зашифрованном разделе
  • /boot на LUKs зашифрованном разделе
  • И так далее, так как Linux позволяет использовать любой не сортированный список блоков в качестве устройства и такой может быть корнем (initramfs очень сложно настроить для такого не сортированного списка блоков, но это можно сделать, это параноидальный способ)

Я также тестировал параноидальный способ шифрования /boot (когда это раздел) с более чем одним уровнем:

  1. /dev/sda5 как единственный логический раздел на диске (MBR с двумя расширенными разделами /boot и /)
  2. Над /dev/sda5 я поставил LUKs уровня 1, сопоставлен с /dev/mapper/level_0001
  3. Over /dev/mapper/level_0001 i put LUKs level 2, сопоставлен с /dev/mapper/level_0002
  4. Через /dev/mapper/level_0002 я поместил LUKs уровня 3, сопоставленный с /dev/mapper/level_0003
  5. И так далее, Через /dev/mapper/level_#### я поместил LUKs уровня ####+1, mapped to /dev/mapper/level_####+1
  6. Over /dev/mapper/level_3436 i put LUKs level 3437, mapped to /dev/mapper/level_3436
  7. Over /dev/mapper/level_3437 i put an Ext4, смонтированный как /boot
  8. Over /boot я устанавливаю Grub2 после выполнения echo GRUB_CRYPTODISK_ENABLE=y >> /etc/default/grub
  9. Over /dev/sda6 я ставлю / только с одним уровнем LUKs

Во время загрузки он запрашивает 3437 различных паролей, я использую более 32 символов в каждом.

Это был просто пробный вариант, время загрузки ужасно.

Но если я сделаю то же самое на /, то скорость чтения/записи всей системы также будет ужасной, но по крайней мере Linux работает. Я также тестировал с более чем десятью тысячами уровней; это частично работает, чтение/запись падает до 10KiB/s (да, действительно ужасно) на моем процессоре, загрузка занимает целый день, а приложения часто падают из-за таймаутов диска при OnLine доступе (серфинг и т.д.).

Так что три или более уровней LUKs вполне приемлемы, также как и десять, это зависит от вашего CPU и от того, что вы используете CPU против DISK, 3D Render против огромного скремблирования данных и т.д.

P.D.: Вы также можете использовать различные хэш-функции и алгоритмы на каждом уровне LUKs, а также можете использовать --iter-time=#, чтобы увеличить время монтирования (предупреждение: при предварительной загрузке Grub2 время монтирования в три или четыре раза больше, использование значения около десяти тысяч вызывает около тридцати секунд при предварительной загрузке).

1
27.01.2020, 20:24

Теги

Похожие вопросы