このガイドの指示に従って、ハードドライブでフルディスク暗号化を実行しました。
パーティションテーブル:GPT
オプション:cryptsetup luksFormat --cipher serpent-xts-plain64 --key-size 512 --hash sha512
ルート、スワップ、プライマリ、ワークスペース、暗号化されていないBIOS起動パーティションなど、4つの暗号化パーティションがあります。起動時にパスワードを入力してOSに入ると、4つのパーティションがすべてマウントされ、ロック解除されます。すべてのパーティションには同じパスワードがあります。
好奇心旺盛にUbuntuディスクアプリケーションを介してパーティション「ワークスペース」をロックしてマウント解除しましたが、内容が消え、ノーチラスで見ると空のパーティションのようになりました。その後、私はランダムな単語を含む単純なテキストファイルを作成しました。私はgedit GUIを開き、その中にテキストを書き、それからロックされたパーティションに新しいテキストファイルとしてファイルを保存することでこれを行いました。より正確には、Ubuntuのディスクからパーティションをアンマウントしてロックした後です。 Nautilusを開き、に移動しました/root/workspace。空であることがわかりました。右クリックし、[新しいテキストファイルを作成]をクリックし、Geditで開き、内容を書き、保存して閉じました。その後、ディスクに戻り、ロックを解除してマウントし、パスワードを書き込んでから、ノーチラスに戻り、暗号化されたファイルがすべて/root/workspace正しく機能していることを確認しました。
その後、パーティションをマウントしてロックを解除し、内部ファイルが再び表示されました。すべて動作し、破損していません。その後、暗号化されたパーティション内に約10 GBのファイルを作成し(パーティション内にすでに存在する複数のファイルを別の名前でコピーして貼り付ける方法で)、マウントを解除して再度ロックしました。驚くべきことに、テキストファイルはまだ存在し、破損しておらず、影響を受けていない同じ単語が含まれています。
今、この状況に関する私の質問は
これにより、どのような方法でFDEが中断されるか、新しい攻撃サーフェスが作成されますか?私のルート、スワップ、およびホームがマウントされ、明確な内部ボリュームワークスペースに書き込まれているので、これはどのような方法でも破損する可能性があり、他のパーティションで使用されるパスワードが破損する可能性がありますか?
私が知っている限り、赤いLuksヘッダーはすべてのパーティションの先頭にありますが、マウントされていないロックされたパーティション内にファイルを書き込むときにどのように破損しませんか?このファイルは、暗号化されたファイルのLuksヘッダーまたはセクションを上書きする必要がありますか?代わりに、すべてのファイルがそのまま残っているため、再インストールしてロックを解除できます。
質問2は逆です。ロック解除されマウントされたパーティションに10 GBのファイルを書き込むときに暗号化されていないテキストファイルを上書きする必要はありませんか?代わりに、ロックしてアンマウントすると、文字列を含むファイルはそのまま残ります。
正しいガイドを使用していますか?それとも何らかの方法で私を脆弱にする言及されていないものはありますか?
ベストアンサー1
ボリュームを「ロック解除」すると、実際には次の2つのことが行われます。
- このボリュームの内容は、システムで次のように使用できます。ブロックデバイス。ブロックデバイスをディスクまたはパーティション、仮想ディスクまたはパーティションと考えてください。
- この仮想ディスクには正確に次のものが含まれています。ファイルシステム、ファイルシステムはインストール済みディレクトリに
/root/workspace。 」インストールする「という意味はファイルシステムがこのディレクトリに表示されます。。
暗号化されたボリュームのロックを解除してファイルを作成しました/root/workspace。このファイルを作成すると、その/root/workspaceファイルはルートパーティションの通常のディレクトリであり、マウントされていません。したがって、ルートパーティションにファイルを書きました。暗号化された/root/workspaceボリュームとは関係がないため、暗号化されたボリュームには影響しません。
暗号化されたファイルシステムをマウントする/root/workspace場合このディレクトリのファイルを隠す。ファイルを削除するのではなく、一時的にアクセスできないようにするだけです。
暗号化されたボリュームを上書きするには、直接アクセスする必要があります。ディスクやパーティションに直接書き込むことはできず、ファイルシステムにのみ書き込むことができるため、Geditは直接これを実行できません。次のようなものを使用してコマンドラインからアクセスできますecho BREAK IT >/dev/sda99(sda99例)。代わりに、rootとして実行して正しい名前を見つける必要がありますsda99。出力にはfindmnt正しい名前が含まれています。当然非常に注意してください。もしそうなら〜する暗号化されたボリュームを破棄します。間違ったボリュームでこれを行うと、そのボリュームが使用できなくなる可能性があります。
うまく設定されたシステムでは、システムのマウントポイントとして指定されたディレクトリに書き込むことはできません。このディレクトリは/root/workspacerootとしてのみ書き込み可能でなければならず、rootで作業してはいけません。 (/root/workspace権限は、ディレクトリに何もインストールされていない場合にのみ重要です。マウントすると、ディレクトリ自体を含むディレクトリの内容が非表示になります。)これにより、危険なパーティション以外のパーティションに誤って何かを保存する可能性がなくなります。 。 。意図:「許可拒否」エラーが発生します。パーティションを回復するには、/root/workspace次のコマンドを使用できます。/root/workspaceいいえ取付ける:
sudo chmod 755 /root/workspace; sudo chown root:root /root/workspace
ちなみに、/rootこれは取り付けポイントとして非常に珍しい場所であることに注意してください。/media/workspace一時的にマウントされたボリュームでより一般的であるか、常に/media/workspaceマウントされたボリューム用に作成します/workspace。/home
あるいは、ファイルが暗号化されたボリュームにあるかどうかわからない場合でも興味深いことがあります。コマンドラインでこれを知る方法は次のとおりです。 (ノーチラスにも明らかに方法があります。おそらくGnomeファイルを開く]ダイアログボックスにもありますが、慣れていません。)
df /path/to/file
findmnt
このコマンドは、「空きディスク」を意味するボリュームdfに使用可能なディスク容量がどれだけあるかを表示します。また、ボリューム名とマウントポイントも表示されます。ボリューム組織によっては、この問題を説明するのに十分な場合があります。それ以外の場合は、出力でボリュームを見つけて、暗号化されたボリュームのサブボリュームであることを確認します。/path/to/filedffindmnt