Verschlüsselt / boot in einer LUKS LVM Ubuntu-Installation

1902
hoveringfalcon

Ich habe Windows 8.1 bereits im UEFI-Modus. Ich habe Ubuntu 15.10 von Live Install aus installiert. Die Installation war erfolgreich, als ich /bootunverschlüsselt blieb. Hier ist das Schema:

sda1 400MB Reserved sda2 100MB EFI sda3 ~100MB Microsoft Reserved sda4 120GB Windows OS sda5 50GB LVM with luks

(versuchte es mit keinem separaten /boot, dh es war in /)

 bootvol 512MB rootvol 15GB swapvol 4GB homevol rest of it

Problem tritt auf, wenn das Installationsprogramm versucht, Grub zu installieren. Wenn ich die Bootloader-Installation als Standard eingerichtet habe /dev/dm-0, wird "Fehler beim Installieren von Grub" angezeigt .

Wenn ich es auf der EFI-Partition installiere, wird Grub nicht in der Lage sein, bla bla zu booten, und wird während der Installation beendet. Wenn ich es tue /dev/sda, sagt es dasselbe wie das von EFI.

2

1 Antwort auf die Frage

0
Clueless Guest

Warum möchtest du verschlüsseln /boot?

Halten Sie es einfach unverschlüsselt. In diesem Verzeichnis (Partition) gibt es nichts, was Sie in jedem Szenario privat halten müssten.

Es ist Standard für die vollständige Festplattenverschlüsselung unter Linux, dass ein vollständig verschlüsselter LVM plus eine unverschlüsselte Bootpartition vorhanden ist. Wenn ein Angreifer in der Lage ist, den Inhalt zu manipulieren /boot, hat er bereits direkten Zugriff auf Ihren Computer. Das bedeutet, dass Sie das Gerät sowieso als kompromittiert ansehen können (falls dies Ihr Paranoia-Modus ist). In diesem Szenario kann ein Betriebssystem nichts dagegen tun. Wenn dies Ihr Bedrohungsprofil ist, müssen Sie zusätzliche (physische) Schritte unternehmen, um Ihre Daten zu schützen. Wenn nicht, dann bleib einfach so /bootwie es ist.

Der Angreifer kann das Laufwerk fassen und den Kernel und andere Dateien ändern. Diese Dateien befinden sich in /boot...., das einen Keylogger enthalten kann, usw. Die Leute haben dies getan und die Methode online gestellt hoveringfalcon vor 8 Jahren 1
Exaktheit. Sobald ein Angreifer Ihr Gerät besitzt, ist es gefährdet (so gut wie). Sie werden nie wieder ein Passwort eingeben. Clueless Guest vor 8 Jahren 0
Übrigens, es gibt keinen Unterschied zwischen Linux (unecrypted / boot) und Verschlüsselungsmethoden, die auf anderen Betriebssystemen verwendet werden. Der Angreifer hat Ihr Gerät - er kann einen Bootloader wie TrueCrypt usw. trivial ersetzen. ([Referenz] (https://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf) ) Clueless Guest vor 8 Jahren 0
Aber der Bootloader von Truecrypt und BitLocker hat keine Kernel- und anderen Schlüsseldateien, um etwas zu keyloggen ... richtig? hoveringfalcon vor 8 Jahren 0
http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ hoveringfalcon vor 8 Jahren 0

Verwandte Probleme