LUKSフルディスク暗号化を使用するときにどのように自分を保護しますか?邪悪なメイド?
悪意のある家政婦の攻撃は、暗号化されていない/bootパーティションを破損して、あなたが自分の席を空にしたときに誰かがあなたのコンピュータに物理的にアクセスし、次にコンピュータを起動したときにFDEパスワードをキャプチャすることです。
1つの解決策は/ bootパーティションを持っているUSBスティックに残すことです(メイドはアクセスできません)。しかし、そこでどのファイルシステムを使用する必要があり、USBアンインストールを適切に処理するようにシステムを設定するにはどうすればよいですか? (そして/ bootパーティション自体も)?
CentOSを使用していますが、展開に拘束されない一般的な回答は大歓迎です。ありがとうございます。
ベストアンサー1
ついに調べました。システムは、システムがインストールされて/boot
いない可能性があることを決して認識しておらず、書き込み操作(システムアップデートなど)を実行する前に手動でインストールする必要があるため、依然として非常にハッキング的で厄介な感じですが、それ以外は完璧に機能します。 。
- フラッシュドライブ用のパーティションを準備し、ここに起動フラグを設定します。
shred -n 1 -v /dev/sdX
以前のブートセクタを含むすべてをクリアするには、このプログラムを実行して目的のfdisk
パーティションとファイルシステムを作成できます。mkfs
- フラッシュドライブをどこかにマウントするか、
/mnt/boot
単に/newboot
マウントしてください。 /boot
すべてをフラッシュドライブに移動するを使用してくださいmv /boot/* /newboot
。- フラッシュドライブと一致するように元のブートパーティションのUUIDを編集して
/etc/fstab
変更します(またはUUIDがない場合はエントリを作成します)。を通じてUUIDを取得できますlsblk -o name,uuid
。またnoauto
、FSを損傷することなくシステムが起動を開始した直後に(カーネルをロードした後)ドライブを取り外すことができるように、ドライブが自動的にマウントされないようにオプションを追加します。 - 元のブートパーティションとUSBフラッシュドライブ(
umount /boot && umount /newboot
)をマウント解除し、USBフラッシュドライブをマウントします。 fstabエントリが正しい場合、実行するmount /boot
とfstabで指定されたUUIDに基づいて自動的にマウントされます。 - 新しいパーティションのUUIDと「物理」位置を反映するようにブートローダの設定を再作成すると、GRUBの場合、フラッシュドライブは実際に
hd0
コンピュータの最初のハードドライブ()として表示されます。ほとんどのディストリビューションに付属のデフォルトのGRUB構成スクリプトにアクセスできる場合は、grub-mkconfig -o /path/to/grub.cfg
これを実行でき、現在インストールされているパーティションおよび/またはfstabに基づいてファイルが作成されます。 CentOS 7の場合、正しい場所grub.cfg
は実際には/boot/grub2/grub.cfg
。
ブートパーティションにアクセスできる操作の実行中にUSBスティックを接続して実行した場合mount /boot
。umount /boot
後者のコマンドはバッファをディスクにフラッシュするため、完了にはしばらく時間がかかります(ディスク自体は遅いため、カーネルは作業を高速化するためにいくつかの書き込みをバッファリングします)。