Другой подход к этой конкретной проблеме - использовать TPM для хранения ключа шифрования, но защита зависит от пользователя, чтобы сделать ее эффективной. Рудиментарным решением на базе RHEL7 является tpm-luks (https://github.com/GeisingerBTI/tpm-luks).
Оно работает следующим образом: при загрузке каждый шаг процесса загрузки измеряет следующий и сохраняет эти измерения в PCR на TPM. После завершения процесса загрузки tpm-luks проверяет состояние PCR на соответствие "известной хорошей" конфигурации. Если конфигурация "заведомо хорошая", TPM разблокирует ключ LUKS, и tpm-luks передает эти данные для разблокировки корневого раздела LUKS.
Поскольку все важные данные измеряются с помощью хэша crpytographic, у злой горничной нет возможности заменить ваш GRUB/ядро/ramdisk, чтобы подло забрать вашу парольную фразу FDE. В качестве дополнительного бонуса, вам вообще не нужна парольная фраза FDE! Теоретически, вы можете полностью убрать человекочитаемую парольную фразу и полностью положиться на tpm-luks, но если вы пойдете этим путем, то, вероятно, будет хорошей идеей сохранить ваш LUKS-заголовок и держать его в качестве резервной копии.
Как я уже говорил, это требует некоторого усердия от пользователя. Если вы оставили компьютер без присмотра, и у вас появляется запрос парольной фразы, вероятно, это плохая идея - вводить ее, пока вы не проведете некоторое расследование. В этот момент следует загрузиться в среду live CD и посмотреть, есть ли ошибка в tpm-luks, или раздел /boot
действительно был изменен. Вы по-прежнему оставляете раздел /boot
незашифрованным, но если что-то важное будет изменено, основной диск никогда не будет расшифрован.
Обычный верхний
также может отображать последний использованный ЦП.
Вы должны нажать f
при просмотре главного экрана, чтобы войти в экран управления полями, стрелку вниз к P = Последний использованный ЦП (SMP)
и включить его с помощью ] d
или пробел. Нажмите q
или выйдите, чтобы вернуться на главный экран.
Вы можете переместить столбец P вверх на экране управления полями, если вам не нравится столбец P в крайнем правом углу вывода.
Вы можете сделать это с помощью ps -aeF
, см. C
столбец
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 2015 ? 00:08:07 /sbin/init
Или с помощью htop
настройте его так, чтобы он отображал столбец ПРОЦЕССОР
,
Чтобы установить соответствие ЦП, вы можете использовать набор задач команда