Kötü hizmetçiye karşı savunma, / boot bölümünün kaldırılması nasıl ele alınır

LUKS tam disk şifrelemesi kullanırken, kötü hizmetçilerden korunmaya nasıl devam edersiniz ?

Kötü hizmetçi saldırısı, siz uzaktayken birisinin bilgisayarınıza fiziksel olarak erişmesi ve bilgisayarınızı bir sonraki başlatışınızda FDE şifrenizi yakalamak için şifrelenmemiş / önyükleme bölümünün güvenliğini aşmasıdır

Çözümlerden biri / boot bölümünüzü her zaman yanınızda olan bir USB çubuğunda bırakmak (hizmetçi buna ulaşamıyor), ancak üzerinde hangi dosya sistemini kullanmalıyım ve sistemimi kaldırmayı zarif bir şekilde ele alacak şekilde nasıl yapılandırırım USB bellek (ve / boot bölümünün kendisi)?

CentOS kullanıyorum, ancak genel, distro-agnostik cevaplar elbette hoş geldiniz. Teşekkürler.

Sonunda anladım. Sistem hala /bootmonte edilmeyebileceğinin asla farkında olmadığından ve sisteminizi yazabilecek herhangi bir şey yapmadan (sistem güncellemelerini vb. Düşünmeden) manuel olarak monte etmeniz gerekeceğinden, bu hala gerçekten çirkin ve kirli hissediyor , ancak bunun dışında mükemmel çalışıyor .

• flash sürücünüzü, üzerinde önyükleme bayrağı yerleştirilmiş tek bir bölümle hazırlayın. Koşabilirsin shred -n 1 -v /dev/sdXönceki önyükleme sektörleri de dahil olmak üzere, tamamen silip için üzerine; bir kez fdiskbir bölüm ve üzerinde mkfsseçtiğiniz dosya sistemi oluşturmak için çalıştırın .
• flash sürücünüzü bir yere monte edin, /mnt/boothatta /newbootiyi olur.
• ile her şeyi /bootflash sürücüye taşıyın mv /boot/* /newboot.
• /etc/fstaborijinal önyükleme bölümünün UUID'sini düzenleyin ve flash sürücünüzün biriyle eşleşecek şekilde değiştirin (veya yoksa bir giriş oluşturun). İle UUID alabilirsiniz lsblk -o name,uuid. Ayrıca noauto, sistem önyükleme yapmaya başlar başlamaz (çekirdek yüklendikten sonra) sürücüdeki FS'yi bozma riski olmadan sürücüyü otomatik olarak takılmayacak şekilde ekleyin .
• orijinal önyükleme bölümünü ve flash sürücüyü ( umount /boot && umount /newboot) çıkarın ve flash sürücüyü takın; fstab girdiniz doğruysa, çalıştırabilirsiniz mount /bootve fstab'da belirtilen UUID'ye göre otomatik olarak bağlanır.
• önyükleyicinizin yapılandırmasını yeni bölümün UUID'lerini ve "fiziksel" konumunu yansıtacak şekilde yeniden oluşturun, GRUB için flash sürücü aslında bilgisayardaki ilk sabit sürücü ( hd0) olarak görünecektir . Çoğu dağıtım tarafından sağlanan varsayılan GRUB yapılandırma komut dosyalarını kullanmakta sorun yoksa grub-mkconfig -o /path/to/grub.cfg, dosyayı çalıştırabilirsiniz ve dosyayı şu anda takılı olan bölümlere ve / veya fstab'a göre oluşturur. CentOS 7 için doğru öğenin grub.cfggerçekte bulunduğunu unutmayın /boot/grub2/grub.cfg.

Önyükleme bölümüne erişebilecek herhangi bir işlem yaparken, USB çubuğunuzu bağlayın ve çalıştırın mount /boot. Bir kez bittiğinde, koşabilirsiniz umount /boot. İkinci komutun tamamlanması biraz zaman alabilir, çünkü arabellekleri diske temizler (diskin kendisi yavaştır, böylece çekirdek işleri hızlandırmak için bazı yazma işlemlerini arabelleğe alır).

Bu özel soruna başka bir yaklaşım, bir şifreleme anahtarını saklamak için TPM'yi kullanmaktır, ancak savunma bunu etkinleştirmek için kullanıcıya güvenir. İlkel, RHEL7 tabanlı bir çözüm tpm-luks'tur ( https://github.com/GeisingerBTI/tpm-luks ).

Çalışma şekli önyükleme üzerindedir, önyükleme işleminin her adımı bir sonrakini ölçer ve bu ölçümü TPM'deki PCR'lere kaydeder. Önyükleme işlemi tamamlandıktan sonra, tpm-luks, PCR'lerin durumunu "bilinen iyi" bir konfigürasyona karşı kontrol eder. "İyi bilinen" bir yapılandırmada, TPM LUKS anahtarını açacaktır ve tpm-luks kök LUKS bölümünün kilidini açmak için bu verileri iletecektir.

Önemli olan her şey bir kriptografik hash ile ölçüldüğü için, kötü bir hizmetçinin FDE parolanızı hararetle toplamak için GRUB / çekirdek / ramdisk'inizi değiştirmesinin bir yolu yoktur. Ek bir bonus olarak, FDE parolasına hiç ihtiyacınız yok! Teorik olarak, insan tarafından okunabilir parolayı tamamen kaldırabilir ve tamamen tpm-luk'lara güvenebilirsiniz, ancak bu rotaya giderseniz, LUKS başlığınızı saklamak ve bir yedek olarak tutmak muhtemelen iyi bir fikirdir.

Bahsettiğim gibi, bu kullanıcı üzerinde biraz titizlik gerektirir. Bilgisayarı gözetimsiz bıraktıysanız ve size bir parola istemi sunulursa, bazı araştırmalar yapana kadar yazmak kötü bir fikirdir. Bu noktada, canlı bir CD ortamına önyükleme yapmalı ve tpm-luk'larda bir hata olup olmadığını veya /bootbölümün gerçekten değiştirilip değiştirilmediğini görmelisiniz . /bootBölümü hala şifrelenmemiş olarak bırakıyorsunuz , ancak önemli bir şey değiştirilirse ana diskin şifresi asla çözülmez.