Вопросы Теги

Загрузчики Linux, поддерживающие полное шифрование диска?

Кажется, что имена файлов отсортированы, и Вы, кажется, распределяете в тех же суммах.

Получите все имена файлов в единственный файл

ls > all_files

Разделите файл на пакеты

split -l 4 all_files all_files-

У Вас теперь есть 4 имен файлов в каждом файле, all_files-*

Выберите один, скажите all_files-aa и сделайте свою копию:

xargs -I{} cp {} folder_for_batch_1 < all_files-aa

28
07.08.2017, 08:28
8 ответов

Я думаю, что текущая версия GRUB2 не имеет поддержки загрузки и дешифрования разделов LUKS отдельно (это содержит некоторые шифры, но я думаю, что они используются только для его поддержки пароля). Я не могу проверить экспериментальное ответвление разработки, но существуют некоторые подсказки на странице GRUB, что некоторая работа планируется для реализации то, что Вы хотите сделать.

Обновление (2015): последняя версия GRUB2 (2.00) уже включает код в доступ, LUKS и GELI зашифровали разделы. (xercestch.com связывает OP, обеспеченный упоминание первые патчи для этого, но они теперь интегрируются в последнем выпуске).

Однако, при попытке зашифровать целый диск из соображений безопасности, обратите внимание на то, что незашифрованный загрузчик (как TrueCrypt, BitLocker или измененный GRUB) не предлагает больше защиты, чем незашифрованный /boot раздел (как отмечено JV в комментарии выше). Кто-либо с физическим доступом к компьютеру может столь же легко заменить его пользовательской версией. Это даже упоминается в статье по xercestech.com, который Вы связали:

Чтобы быть ясным, это ни в коем случае не делает Вашу систему менее уязвимой для офлайнового нападения, если взломщик должен был заменить Ваш загрузчик их собственным, или перенаправить процесс начальной загрузки для начальной загрузки их собственного кода, система может все еще быть поставлена под угрозу.

Обратите внимание, что все основанные на программном обеспечении продукты для полного шифрования диска имеют эту слабость, неважно, если они используют незашифрованный загрузчик или незашифрованный раздел начальной загрузки/предварительной начальной загрузки. Даже продукты с поддержкой TPM (Модуль Надежной платформы) микросхемы, как BitLocker, могут быть базированы, не изменяя аппаратные средства.

Лучший подход был бы к:

  1. дешифруйте на уровне BIOS (в материнской плате или дисковом адаптере или внешнем оборудовании [смарт-карта], с или без микросхемы TPM), или
  2. несите PBA (авторизация перед начальной загрузкой) код ( /boot раздел в этом случае) в съемном устройстве (как смарт-карта или карта с интерфейсом USB).

Чтобы сделать это второй путь, можно проверить проект Полного шифрования диска Linux (LFDE) в: http://lfde.org/, который предоставляет сценарий постустановки для перемещения /boot раздел к внешней Карте памяти, шифруя ключ с GPG и храня его в USB также. Таким образом, более слабая часть трассы начальной загрузки (незашифрованный /boot раздел), всегда с Вами (Вы будете единственным с физическим доступом к коду дешифрования И ключу). (Отметьте: этот сайт был потерян, и блог автора также исчез, однако можно найти, что старые файлы в https://github.com/mv-code/lfde просто отмечают, что последняя разработка была сделана 6 лет назад). Как более легкая альтернатива, можно установить незашифрованный раздел начальной загрузки в карте с интерфейсом USB при установке ОС.

С уважением, мВ

20
27.01.2020, 19:39
  • 1
    Дешифрование на уровне BIOS было бы очень хорошим решением действительно (я рассмотрел это как опцию)... –   19.05.2011, 18:49
  • 2
    , я не знаю рабочей реализации, но EFI/UEFI имеет опцию включать пользовательский Диспетчер начальной загрузки EFI для замены общего загрузчика, возможно, добавляя слой дешифрования для дешифрования данных (конечно, затем, Вам будет нужна платформа EFI). Или возможно часть проекта, связанного с CoreBoot (ADLO, SeaBIOS, OpenBIOS, и т.д.), может быть изменена, чтобы сделать это. Просто идеи. –   24.05.2011, 11:40
  • 3
    Только для добавления большей информации о слабости использования незашифрованного / раздела начальной загрузки (но это также запрашивает незашифрованный загрузчик): twopointfouristan.wordpress.com/2011/04/17 / … (как изменить раздел начальной загрузки за 10 минут физического доступа, для получения пароля монтирования плюс любой другой файл в зашифрованном разделе) –   21.07.2011, 05:16
  • 4
    @MV.:Спасибо. Я могу протестировать его сам и добавить ответ здесь с более подробными шагами для использования зашифрованный /boot разделы с GRUB2. –  Peque 20.02.2015, 12:11
  • 5
    에이바: нет, это связано (использующий LUKS с TPM), но не является тем же проектом, ранее размещенным по lfde.org (который теперь является сайтом об аэроклубе). –  MV. 02.04.2016, 04:16

Сделайте свой Начальный Электронный диск, и папка начальной загрузки / не использует шифрование.

Это поднимет "минимальное" ядро с драйверами и поддержкой для переключения на "фактическую" корневую файловую систему, которая шифруется.

Прежде чем Вы будете утверждать, что "это - взлом" - помнят - большинство (если не все), дистрибутивы Linux загружают этот путь сегодня по умолчанию. Это явно позволяет Вашей системе загружать и загружать Ваш корневой FS, с помощью модулей, которые это должно загрузить из файловой системы. (Вид проблемы курицы-и-яйца). Как, например, если Ваша корневая файловая система была на аппаратных средствах объем RAID, и необходимо было загрузиться, это - драйвер, прежде чем Вы могли смонтировать свой корневой FS.

4
27.01.2020, 19:39

Я рассмотрел ссылку, которую Вы отправили - хотя нет никакого раздела начальной загрузки, существует все еще незашифрованный загрузчик на жестком диске, к которому можно было получить доступ и поставил под угрозу использование злого нападения девицы. Я изучал подобную установку, в которой нет никаких незашифрованных данных по жесткому диску, но до сих пор я только придумал выполнение загрузчика от съемного диска.

3
27.01.2020, 19:39
  • 1
    Да, существует все еще незашифрованный загрузчик. Это было бы приемлемо для меня. –   28.04.2011, 22:00
  • 2
    Злая девица может заразить загрузчик, чтобы сделать поддельную подсказку пароля для одурачивания Вас, затем просто загрузить незашифрованное троянизированное ядро. Шифрование ядра получает очень мало, не шифруя загрузчик. –  Skaperen 27.01.2012, 04:56

Я полагаю, что большинство из них делает, в чем Вы нуждаетесь, инструкция относительно того, как установить ОС с зашифрованным HD во-первых.

Ubuntu имеет хорошую страницу с инструкциями относительно создания зашифрованных разделов, LMVPs, папки и т.д., просто гуглят Вашу версию дистрибутивов этого...

1
27.01.2020, 19:39
  • 1
    Большинство дистрибутивов Linux, включая Ubuntu, включает своего рода поддержку шифрования разделов, но они требуют, чтобы начальная загрузка / была не зашифрована. То, что я ищу, является загрузчиком, который может обработать полностью зашифрованный диск. –   15.11.2010, 01:47
  • 2
    По крайней мере некоторая часть загрузчика должна быть не зашифрована, иначе ЦП не мог выполнить его. Есть ли какая-либо конкретная проблема, у Вас есть с отъездом / незашифрованная начальная загрузка? –   15.11.2010, 06:27
  • 3
    Загрузчик и начальная загрузка / являются разными вещами. Я ищу загрузчик, чем может загрузить полностью зашифрованный диск. TrueCrypt может сделать это для Windows, но не для Linux. –   15.11.2010, 09:11
  • 4
    Различие - то, что загрузчик окон содержится в самом mbr, в то время как на Linux mbr просто связывается с / необходимыми загрузочными файлами. –  J V 15.11.2010, 11:30
  • 5
    "Аутентификация Перед начальной загрузкой обрабатывается Загрузчиком TrueCrypt, который находится в первой дорожке загрузочного диска" - иначе, на окнах это создает mini-/boot. Снова, сама личинка содержится в начальной загрузке/, mbr составляет только 512 байтов, недостаточно для хранения алгоритма дешифрования. Однако это сделано, часть жесткого диска должна быть предоставлена незашифрованная. Вы смогли запускать личинку на зашифрованном разделе от загрузчика на совершенно другом, но это потребует некоторого серьезно грязного кода... –  J V 15.11.2010, 11:43

Нет, я думаю, что нет.

Необходимо ли действительно зашифровать начальную загрузку/? Я подозреваю нет. Остальная часть файловой системы может быть зашифрована нормальным программным обеспечением Linux, которое находится на initramfs в начальной загрузке / и предлагает пользователю соответственно.

0
27.01.2020, 19:39
  • 1
    Да, я должен зашифровать начальную загрузку/. Все должно быть зашифровано за исключением самого загрузчика. –   15.11.2010, 11:59
  • 2
    Объясните, почему Вы полагаете, что нет никаких загрузчиков, поддерживающих полное шифрование диска. –  this.josh 18.05.2011, 20:58
  • 3
    @Grodriguez: если Вы полагаете, что начальная загрузка / часть загрузчика, то все шифруется - все двоичные файлы, используемые во времени выполнения, все пользовательские данные, и т.д. –  MarkR 19.05.2011, 17:00
  • 4
    Как отмечено в комментарии к другому ответу: Я знаю, что должно всегда быть "что-то", что не шифруется - мне просто нужно это "что-то", чтобы быть загрузчиком (MBR + загрузочный сектор) вместо / раздела начальной загрузки. –   19.05.2011, 18:48

Вы, кажется, просите что-то, что невозможно сделать и сравнение его к решению для Windows, которое скрывает реализацию от Вас, но в действительности делает то же самое, которое делает Linux.

Самое близкое решение, о котором я могу думать, состоит в том, чтобы использовать жесткий диск, который реализует пароль безопасности и шифрование. Некоторые ноутбуки ThinkPad используют эти аппаратные решения.

0
27.01.2020, 19:39
  • 1
    Извините, но я не вижу, почему это должно быть "невозможно". Статья, с которой я связываюсь в моем вопросе, доказывает, что это может быть сделано. Подтверждение концепции было реализовано с помощью измененной версии GRUB 2. Я знаю, что должно всегда быть "что-то", что не шифруется - мне просто нужно это "что-то", чтобы быть загрузчиком (MBR + загрузочный сектор) вместо / раздела начальной загрузки. –   15.11.2010, 21:58
  • 2
    @Grodriguez: Ваше требование не имеет никакого смысла. Вашему требованию отвечают при использовании виртуальной машины в другой ОС? Если так, затем загрузите ОС один, дешифруйте диск и запустите VM. –  Zan Lynx 15.11.2010, 23:14
  • 3
    Вы на самом деле попытались прочитать статью, с которой я связался? То, что Вы не понимаете требования, не означает, что "не имеет никакого смысла". У меня есть допустимые причины этого (в который я не хочу входить). –   16.11.2010, 09:54
  • 4
    Статья проясняет в абзаце 3, что это не улучшает ситуацию. Таким образом, не имеет смысла мне следовать за остальной частью его, который фокусируется о том, как настроить его, а не как это работает. Думайте о том, что собирается сказать Вам, что я заменил Ваше ядро или целую начальную загрузку/, с моим собственным (при действии как злая девица). –  Skaperen 27.01.2012, 05:01

На ответ намекает статья. "Это теперь возможно с расширениями следующего поколения загрузчик GRUB2, который был исправлен для поддержки не только" и "мы хотим установить включенное изображение grub2 наших новых удач позже" и "Теперь мы компилируем LUKS-поддерживающий источник GRUB2". Кажется, что существует патч или расширение, которое необходимо получить и включать с GRUB2 или разветвленным источником GRUB2.

0
27.01.2020, 19:39

Grub2 версии 2.02~beta3 может делать много вещей, которые Grub2 версии 2.02~beta2 не может делать, проверено мной:

  1. Загрузка с помощью диска Super Grub 2
  2. Введите клавишу 'c' для перехода в командную строку
  3. Введите команды для монтирования зашифрованного раздела, который мне нужен
    • insmod luks
    • cryptomount (hd0,#) // где # представляет зашифрованный раздел
  4. Введите кодовую фразу и введите еще несколько команд
    • multiboot (crypto0)/grub/i386-pc/core.img
    • boot

Это загрузит другой Grub2, который находится внутри зашифрованного раздела, злая безумная атака здесь не имеет смысла... я загружаюсь с CD (носитель только для чтения), затем монтирую зашифрованный раздел (без парольной фразы, как посмеет кто-то что-то внедрить!), затем загружаюсь из зашифрованного раздела и загружаю Grub2 с собственным меню и т.д.

Примечание: Такая загрузка Grub 2.02~beta3 (я использую Super Grub 2 cd) может быть на USB-флешке, USB HDD и т.д.

Внимание: Grub2 версии 2.02~beta2 не может сделать то же самое, так как имеет некоторые ошибки (которые, похоже, исправлены в Grub2 версии 2.02~beta3), связанные с командой cryptomount...

Ошибки beta2, о которых я говорю, следующие:

  1. Она действительно не монтирует зашифрованный раздел, поэтому не позволяет вам получить доступ к (crypto0)/*
  2. Если есть более одного зашифрованного раздела, использование cryptomount -a запрашивает только одну парольную фразу
  3. После запуска cryptomount один раз, повторный запуск ничего не дает

на beta 3:

  1. Он действительно монтирует зашифрованный раздел и позволяет вам получить доступ к файлам через (crypto0)/* или (crypto1)/* и т.д., если более одного монтируется одновременно
  2. Он запрашивает каждую парольную фразу (одну на зашифрованный раздел)
  3. Он позволяет вам запускать его столько раз, сколько вам нужно, вы можете монтировать один, затем другой и т.д.

Примечание: я не понял, как их размонтировать, кроме перезагрузки или загрузки другого или того же grub2 / другого загрузчика и т.д.

Надеюсь, это поможет прояснить ситуацию, и надеюсь, что Grub2 версии 2.02~beta3 будет интегрирован в LiveCD, так что все мы сможем установить его без необходимости компилировать его самостоятельно.

P.D.: С диском Super Grub 2 я не вижу никакого способа установить Grub2 версии 2.02~beta3 на раздел MBR /boot и т.д.

0
27.01.2020, 19:39

Теги

Похожие вопросы

  • 75
    Что хранится в/dev/pts файлах, и мы можем открыть их? 20.01.2015
    Согласно моему знанию,/dev/pts файлы создаются для сессий telnet или ssh.
  • 4
    Парсинг файлов журнала 07.05.2011
    Я пытаюсь разработать системный инструмент статистики для Ubuntu, которая будет хранить данные об использовании ресурса процессов/пользователей. Я храню эти данные в своих собственных файлах журнала как/var/log / <процесс>....
  • 0
    Ошибка при чтении файла с помощью Bash 16.06.2020
    Я хочу прочитать файл в сценарии bash со следующим кодом: #!/bin/bash file=$(sort "$1" | cut -f 1 -d "," | uniq -c | sed 's/^ *//g') while IFS= read -r строка do echo &...
  • 6
    Почему SDF переключался от NetBSD до Linux? 18.02.2012
    У меня лично нет большого опыта, но я читал о SDF, и однажды статья упоминает что SDF, перемещенный в Linux в 1997, но из-за большого количества вредоносных атак он...
  • 0
    Комментирование строк между двумя тегами в оболочке 03.03.2020
    Я хотел бы прокомментировать/раскомментировать, чтобы отключить/включить кеширование между двумя тегами раздела конфигурации в экземпляре httpd с использованием sed или awk. Я могу комментировать/раскомментировать строки, начинающиеся с Cache/...
  • 2
    Никакая сеть в slackware 24.11.2018
    Я только что установил Slackware. Интересно, как установить сеть в нем. После установки Slackware не работали аудио и сеть. Это - то, как это похоже, никакое аудио, сеть
  • 1
    Установка Linux на единственном основном разделе 09.01.2014
    Действительно ли возможно установить Linux на единственном основном разделе? У меня уже есть три основных раздела, занятые Windows 7, который я не могу бросить.