Zdravim vsetkych,
uz dlhsie sa zaoberam jednou ulohou, ktoru neviem vyriesit.
Chcem spravit instalaciu linuxoveho systemu s cryptovanym root FS, tak aby sa nemuselo zadavat heslo pri boote.
Cize vysledok je taky ak dam niekomu nainstalovany system s celym HW, tak si ho nemoze nijak skopirovat, ani pozmenit.
Jedna moznost ma napadla kluc k odcryptovaniu root FS naviazat na motherboard ID + HDD ID a hodit do do kernelu, pretoze
v initrd to je jednoduche vidiet a zmenit. Netusim ale ako nieco take realizovat.
Dalsia moznost bola projekt coreboot, ale v nom som nenasiel riesenie na tento problem.
Napada niekoho nieco, ako to riesit ?
dakujem za kazdy podnet
Rast'o
tym, ze vytvoris neupravitelnu distribuciu porusujes automaticky GNU licenciu, ktora hovori, ze ziadny projekt zalozeny na GNU licencii by sa mal riadit touto licenciou, alebo kompatibilnou (dost zjednodusene)
a okrem toho, ak /root zasifrujes, tak potrebujes v initrd si popridavat ovladace k vsetkym zariadeniam, ako aj si v nom vytvorit malinky rood particiu, kde by sa vsetko potrebne spustilo a nasledne initrd by pripojil uz zasifrovanu particiu...
a root particiu nedoporucujem sifrovat a pokial chces sifrovat, tak by si si mal vytvorit zvlast particie pre sifrovane data (napr. pre /var, /home, a adresare /, /bin /sbin a pod... tie su zbytocne sifrovat, ako aj /boot, kde su ulozene jadro, samotny initrd,... by sa nemal sifrovat