Я думаю, что текущая версия GRUB2 не имеет поддержки загрузки и дешифрования разделов LUKS отдельно (это содержит некоторые шифры, но я думаю, что они используются только для его поддержки пароля). Я не могу проверить экспериментальное ответвление разработки, но существуют некоторые подсказки на странице GRUB, что некоторая работа планируется для реализации то, что Вы хотите сделать.
Обновление (2015): последняя версия GRUB2 (2.00) уже включает код в доступ, LUKS и GELI зашифровали разделы. (xercestch.com связывает OP, обеспеченный упоминание первые патчи для этого, но они теперь интегрируются в последнем выпуске).
Однако, при попытке зашифровать целый диск из соображений безопасности, обратите внимание на то, что незашифрованный загрузчик (как TrueCrypt, BitLocker или измененный GRUB) не предлагает больше защиты, чем незашифрованный /boot
раздел (как отмечено JV в комментарии выше). Кто-либо с физическим доступом к компьютеру может столь же легко заменить его пользовательской версией. Это даже упоминается в статье по xercestech.com, который Вы связали:
Чтобы быть ясным, это ни в коем случае не делает Вашу систему менее уязвимой для офлайнового нападения, если взломщик должен был заменить Ваш загрузчик их собственным, или перенаправить процесс начальной загрузки для начальной загрузки их собственного кода, система может все еще быть поставлена под угрозу.
Обратите внимание, что все основанные на программном обеспечении продукты для полного шифрования диска имеют эту слабость, неважно, если они используют незашифрованный загрузчик или незашифрованный раздел начальной загрузки/предварительной начальной загрузки. Даже продукты с поддержкой TPM (Модуль Надежной платформы) микросхемы, как BitLocker, могут быть базированы, не изменяя аппаратные средства.
Лучший подход был бы к:
/boot
раздел в этом случае) в съемном устройстве (как смарт-карта или карта с интерфейсом USB).Чтобы сделать это второй путь, можно проверить проект Полного шифрования диска Linux (LFDE) в: http://lfde.org/, который предоставляет сценарий постустановки для перемещения /boot
раздел к внешней Карте памяти, шифруя ключ с GPG и храня его в USB также. Таким образом, более слабая часть трассы начальной загрузки (незашифрованный /boot
раздел), всегда с Вами (Вы будете единственным с физическим доступом к коду дешифрования И ключу). (Отметьте: этот сайт был потерян, и блог автора также исчез, однако можно найти, что старые файлы в https://github.com/mv-code/lfde просто отмечают, что последняя разработка была сделана 6 лет назад). Как более легкая альтернатива, можно установить незашифрованный раздел начальной загрузки в карте с интерфейсом USB при установке ОС.
С уважением, мВ
Корректный путь состоит в том, чтобы использовать #!/usr/bin/python2
как shbang строка. Все больше дистрибутивов поддерживает это теперь, и даже восходящая разработка Python приняла его.
python bla bla
чем это не будет работать. И да я соглашаюсь для каждый новые сценарии, это должно использоваться – Mite Mitreski 29.01.2013, 02:16#!/usr/bin/env python2
, так как много сред будут иметьpython2
, но не в/usr/bin
– kojiro 29.01.2013, 02:38