GRUB2'nin şu anki sürümünün LUKS bölümlerini kendi başına yükleme ve şifresini çözme desteği olmadığını düşünüyorum (bazı şifreler içeriyor, ancak yalnızca şifre desteği için kullanıldığını düşünüyorum). Deneysel gelişim branşını kontrol edemiyorum, ancak GRUB sayfasında, yapmak istediğinizi uygulamak için bazı çalışmaların planlandığı bazı ipuçları var.
Güncelleme (2015) : GRUB2'nin (2.00) en son sürümü, LUKS ve GELI şifreli bölümlerine erişmek için zaten kod içeriyor. (Sağlanan xercestch.com bağlantısı, bunun için ilk yamaları belirtiyor, ancak şimdi en son sürümde bulunuyorlar).
Ancak, güvenlik nedeniyle tüm diski şifrelemeye çalışıyorsanız, şifrelenmemiş bir önyükleyici (TrueCrypt, BitLocker veya değiştirilmiş bir GRUB gibi) şifrelenmemiş bir /boot
bölümden daha fazla koruma sağlamadığını lütfen unutmayın ( yukarıdaki açıklamada JV tarafından belirtildiği gibi) . Bilgisayara fiziksel erişimi olan herkes, onu kolayca özel bir sürümle değiştirebilir. Bağlandığınız xercestech.com adresindeki makalede bile bahsedilmiştir:
Açıkçası, eğer bir saldırgan bootloader'ınızı kendi koduyla değiştirecekseydi ya da boot kodunu kendi kodlarını boot etmesi için yeniden başlatırsa, sisteminiz yine de tehlikeye girebilir.
Tam disk şifrelemeye yönelik tüm yazılım tabanlı ürünlerin şifrelenmemiş bir önyükleyici veya şifrelenmemiş bir önyükleme / önyükleme bölümü kullanmaları farketmeksizin bu zayıflığa sahip olduğunu unutmayın. BitLocker gibi TPM (Trusted Platform Module) yongalarını destekleyen ürünler bile donanımda değişiklik yapmadan kaynaklanabilir.
Daha iyi bir yaklaşım olacaktır:
- BIOS düzeyinde şifre çözme (anakart veya disk adaptöründe veya harici donanımda [akıllı kart], TPM yongası olan veya olmayan) veya
- PBA (ön yükleme yetkilendirme) kodunu (
/boot
bu durumda bölüm) çıkarılabilir bir cihazda (akıllı kart veya USB bellek gibi) taşıyın.
İkinci yol için, Linux Tam Disk Şifreleme (LFDE) projesini http://lfde.org/ adresinden kontrol edebilirsiniz. Bu, /boot
bölümü harici bir USB sürücüye taşımak için bir yükleme sonrası komut dosyası sağlar ve anahtarı şifreleyerek GPG ve USB'ye de saklayın. Bu şekilde, önyükleme yolunun zayıf kısmı (şifrelenmemiş /boot
bölüm) her zaman yanınızdadır (şifre çözme koduna ve anahtara fiziksel erişimi olan tek kişi siz olacaksınız). ( Not : bu site kaybedildi ve yazarın blogu da ortadan kalktı, ancak eski dosyaları 6 yıl önce yapılan son gelişmeye dikkat edin) https://github.com/mv-code/lfde adresinde bulabilirsiniz . Daha hafif bir alternatif olarak, işletim sisteminizi kurarken şifrelenmemiş önyükleme bölümünü bir USB belleğe takabilirsiniz.
Saygılar, MV