邪悪なメイドから身を守る、/ bootパーティションの削除を処理する方法


11

LUKSフルディスク暗号化を使用する場合、悪意のあるメイドからどのように保護しますか?

悪意のあるメイド攻撃とは、不在時に誰かがコンピュータに物理的にアクセスし、暗号化されていない/ bootパーティションを侵害して、次にコンピュータを起動したときにFDEパスワードを取得することです。

解決策の1つは、/ bootパーティションを常に手元にあるUSBスティックに置いておくことです(メイドはそれにアクセスできません)、どのファイルシステムを使用する必要があるか、および削除を適切に処理するようにシステムを構成する方法USBスティックの(そして/ bootパーティション自体)?

私はCentOSを使用していますが、一般的な、ディストリビューションにとらわれない答えはもちろん大歓迎です。ありがとう。

回答:


5

最後にそれを理解しました。システムは/bootマウントされていない可能性があることをシステムが認識していないため、これは本当にハッキーで汚い感じがします。システムアップデートなどの書き込みを行う前に手動でマウントする必要がありますが、それ以外は完全に機能します。 。

  • ブートフラグが設定された単一のパーティションでフラッシュドライブを準備します。実行shred -n 1 -v /dev/sdXすると、以前のブートセクターを含め、完全に消去できます。それが終わったらfdisk、パーティションとmkfsそれに選択したファイルシステムを作成するために実行します。
  • どこかにあなたのフラッシュドライブをマウントするか、/mnt/bootあるいは/newbootうまくいくでしょう。
  • ですべてを/bootフラッシュドライブに移動しますmv /boot/* /newboot
  • を編集し/etc/fstab、元のブートパーティションのUUIDを変更して(または、存在しない場合はエントリを作成して)、フラッシュドライブのUUIDと一致させます。UUIDはで取得できますlsblk -o name,uuid。またnoauto、ドライブが自動的にマウントされないようにオプションを追加して、システムが(カーネルがロードされた後)ブートを開始するとすぐに、FSを破損する危険を冒さずにドライブを削除できるようにします。
  • 元のブートパーティションとフラッシュドライブをマウント解除し(umount /boot && umount /newboot)、フラッシュドライブをマウントします。fstabエントリが正しい場合は、実行するだけmount /bootで、fstabで指定されたUUIDに基づいて自動的にマウントされます。
  • 新しいパーティションのUUIDと「物理」位置を反映するようにブートローダーの構成を再生成します。GRUBの場合、フラッシュドライブは実際にはコンピューターの最初のハードドライブとして表示されます(hd0)。ほとんどのディストリビューションで提供されているデフォルトのGRUB構成スクリプトを使用しても問題がない場合は、実行するgrub-mkconfig -o /path/to/grub.cfgと、現在マウントされているパーティションやfstabに応じてファイルが生成されます。CentOS 7の場合、正しいものgrub.cfgは実際にはにあることに注意してください/boot/grub2/grub.cfg

ブートパーティションにアクセスする可能性のある操作を行うときは、USBスティックを接続して実行しmount /bootます。完了したら、を実行できますumount /boot。後者のコマンドは、バッファーをディスクにフラッシュしているため、完了するまでに時間がかかる場合があります(ディスク自体は低速なので、カーネルが書き込み操作をバッファーして高速化します)。


まったく汚れていません。それが最も明白な方法です。書いてくれてありがとう!
dbanet 2016

0

この特定の問題への別のアプローチは、TPMを使用して暗号化キーを格納することですが、防御はそれを有効にするためにユーザーに依存します。基本的なRHEL7ベースのソリューションは、tpm-luks(https://github.com/GeisingerBTI/tpm-luks)です。

それが機能する方法はブート時です。ブートプロセスの各ステップは次のステップを測定し、この測定値をTPMのPCRに保存します。ブートプロセスが完了すると、tpm-luksはPCRのステータスを「既知の正常な」構成と照合します。「既知の正常な」構成の場合、TPMはLUKSキーのシールを解除し、tpm-luksはこのデータを渡してルートLUKSパーティションのロックを解除します。

重要なものはすべて暗号化ハッシュで測定されるため、悪意のあるメイドがGRUB / kernel / ramdiskを置き換えて、FDEパスフレーズを不正に収集する方法は基本的にありません。追加のボーナスとして、FDEパスフレーズはまったく必要ありません。理論的には、人間が読み取れるパスフレーズを完全に削除してtpm-luksに完全に依存することもできますが、そのルートを使用する場合は、LUKSヘッダーを保存してバックアップとして保持することをお勧めします。

すでに述べたように、これにはユーザーの注意が必要です。コンピュータを放置したままパスフレーズプロンプトが表示された場合は、調査が完了するまで入力するのは悪い考えです。その時点で、ライブCD環境を起動して、tpm-luksにバグがないかどうか、または/bootパーティションが本当に変更されているかどうかを確認する必要があります。/bootパーティションは暗号化されていないままですが、重要なものが変更されても、メインディスクは復号化されません。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.