Kompletně zašifrovaný vnitřní mirror

[the poloprdoch]

Pochvalen bud pan Jezis Kristus,

Existuje nejaky setup nejake dobre spravovane linuxove distribuce, kdy start probiha z usb flasky, ale pak system bezi ze zasifrovaneho vnitrniho mirroru, takze flashku lze vyjmout (do pristiho restartu), pricemz vnitrni disky jsou zasifrovane od prvniho sektoru do posledniho, takze bez flashky neni mozne system nejn nastartovat, ale ani (po)zmenit cokoli na discich?
Tim myslim setup, ktery zvladne i stredne zdatny poloprdoch a aktualizace spravce distribuce zustanou funkcni.

PS  TPM neni k dispozici

Cest vasi praci soudruzi!

[Reklama]

[Franta <xkucf03/>]

A je nutné tu flashku za chodu odpojovat? Co by se pak mělo stát – měl by systém plynule přejít do režimu pouze pro čtení? Nebo by se po opětovném připojení měl synchronizovat?

Nevím o tom, že by to někde bylo jako předvolba nebo dokonce výchozí chování, ale neměl by být problém si to v běžné distribuci (např. ubuntu/kubuntu, fedora, suse) naklikat při instalaci – nastavíš si RAID a nad ním šifrovaný oddíl (a v něm třeba LVM nebo rovnou souborový systém) + /boot dáš jen na flashku.

Ale spíš bych se na RAID vykašlal a udělal to jinak:

 - disk: celý šifrovaný a na něm data a swap
 - flashka (nebo externí disk): nešifrovaný /boot + šifrovaný oddíl a na něm zálohy dat

Když použiješ Btrfs, tak můžeš zálohovat (rsyncem), jak často chceš, a nebude to zabírat skoro žádné místo navíc (u snapshotů se ukládají se jen rozdíly). Zatímco u RAIDu bys měl jen zálohu poslední verze.

Nicméně nezapomínej, že když dáš počítač z ruky, stále tu nějaká rizika jsou (i když je to dost dobré řešení oproti ostatním). Útočník ti může do počítače nainstalovat HW keylogger nebo upravit BIOS/UEFI, aby ukradl heslo k disku nebo rovnou data.

[Sten]

Nicméně nezapomínej, že když dáš počítač z ruky, stále tu nějaká rizika jsou (i když je to dost dobré řešení oproti ostatním). Útočník ti může do počítače nainstalovat HW keylogger nebo upravit BIOS/UEFI, aby ukradl heslo k disku nebo rovnou data.

Anebo provede velmi jednoduchý a rychlý cold boot attack a heslo vytáhne z paměti.

[The poloprdoch]

Anebo provede velmi jednoduchý a rychlý cold boot attack a heslo vytáhne z paměti.

Proc bych neco tak zbytecne sloziteho mel delat? Sejmu ho baseballkou zezadu pres palici a vezmu si flasku, ne? Ale na to jsem se neptal.

[The poloprdoch]

A je nutné tu flashku za chodu odpojovat? Co by se pak mělo stát – měl by systém plynule přejít do režimu pouze pro čtení? Nebo by se po opětovném připojení měl synchronizovat?

Flasku bych rad mel u sebe. Kbyby tam byla nutna pro beh, nemohl bych odejit. Nechci se chranit pred tlupou profesoru z MIT ani pred vladou. Jen pred ruznymi vykuky, co jim z googlu vypadne neco zajimaveho.
Prijde mi, ze mit na flashce nejaky zavadec desifrujici /boot a uloziste klicu uz prece musel nekdo vymyslet. Nic, co by se muselo aktualizovat casteji nez BIOS.

[Reklama]

[JardaP .]

A neslo by se poohlednout po uplne normalnim distru s instalatorem, ktery podporuje full disk enryption a pri instalai strcit /boot na tu flasku?

[JardaP .]

Mozna tady: http://ubuntuforums.org/showthread.php?t=949870

[pepa]

prodávají se i flesky s hw klavesnici pro kod,
jinak /boot nikdy nezasifrujes a je to také naprosto zbytečné nota bene když ho budeš mít na flesce

[The poloprdoch]

/boot muze byt na libovolnem filesystemu. Podminkou je, aby mu zavadec rozumel. Takze otazkou pouze je, zda uz nekdo nejaky gencrub+ napsal
Mit /boot na flashce neni predmetem dotazu.

Dik

[j]

Nicméně nezapomínej, že když dáš počítač z ruky, stále tu nějaká rizika jsou (i když je to dost dobré řešení oproti ostatním). Útočník ti může do počítače nainstalovat HW keylogger nebo upravit BIOS/UEFI, aby ukradl heslo k disku nebo rovnou data.

Anebo provede velmi jednoduchý a rychlý cold boot attack a heslo vytáhne z paměti.

Pokud uz budu resit fyzickej utok, tak samosebou mam case s detekci otevreni (a to nejen nejakym cumprdlikem, ale minimalne nejakou mrizkou po celym krytu), takze jakmile nekdo narusi integritu, prvni co se stane je likvidace klice.

[Jenda]

Mit /boot na flashce neni predmetem dotazu.

Pak jsem nepochopil dotaz. Co tedy mělo znamenat "start probiha z usb flasky, ale pak system bezi ze zasifrovaneho vnitrniho mirroru"?

[the poloprdoch]

V BIOSu je nastaveno, ze se startuje z flashky, zavadec (~ grub ci lilo...) je na flashce (i s klicem), vnitrni disky nemusi mit zadny oddil aktivni, ani na vnitrnich discich neni (jiny/puvodni) zavadec.

[nobody]

normalni instalace napr. Xubuntu 14.04 LTS... pri instalaci zaskrtnou sifrovani disku a zavadec instalovat na USB Flash, nasledne po restartu vygenerovat klic na USB Flash, ten sparovat s HDD sifrovanim... po vytazeni USB Flash pak ale logicky nemuze fungovat uspesne aktualizace pri aktualizovani grub a/nebo jadra, tim ze nechces aby na HDD byl jiny/puvodni zavadec (jadro se sice aktualizuje ale nasledne volani update-grub v ramci procesu aktualizace zkolabuje, kdyz bude grub a jeho config na vytazenem USB)...

tedy otazka jestli potrebujes nutne zavadec na USBFlash, jestli by nebylo resenim na USBFlash mit pouze klic k HDD, na HDD pak zavadec (grub) i s jeho konfiguraci, a pri startu z HDD by bylo zadavano rucne heslo pro desifrovani (HDD by byl nepristupny i z LiveCD) a v pripade vsunute USBFlash by nebyl dotaz na heslo, ale pouzilo by se automaticky keyfile z USB...
samotny dotaz na heslo (po uspesnem odzkouseni ze funguje keyfile z usb) by sel take odstranit...

tedy pokud otazka znela, lze toto udelat na "jedno tuknuti", tak ne, ale neni k tomu potreba vynalezat kolo, jen se naucit upravit trosku vyplet

[the poloprdoch]

Nevim to jiste, ale nemyslim si, ze se pri updatu jadra aktualizuje i bootsrap kod. Konfigurace grubu je ulozena v /boot/grub, coz by prave melo byt zasifrovane na disku (bezici system by /boot videl uz desifrovany). Update grubu (ktery neni zdaleka tak casty) by mohl pripadnou aktualizaci bootstrap kodu nahravat do /dev/null, pripadne nekam do souboru v /boot (protoze pro start systemu v tomhle pripade stejne neni treba). Ale klidne i na disk, stejne se z toho nebude dat nastrtovat a taky by zavadec na flashce mohl preventivne bootstrap kod na vnitrnich discich pro jistotu prubezne kontrolovat a zneplatnovat (protoze teoreticky jedine tam muze byt neco infikovaneho, co si sahne na flashku)

Pokud BIOS bude spoustet neco z vnitrnich disku, co se bude ptat na klic/heslo, vzdycky tam muze nejaky vykuk nahrat neco stazeneho z netu, co si ten klic/heslo nekam poznamena nebo podobne. Infekci v BIOSu nepredpokladam (jedna vec je upravit neco na disku a uplne jina upravit BIOS nejake zakladni desky). Jak uz jsem psal tripismenkove agentury a bostonske profesory zanedbavam.

[Jenda]

V BIOSu je nastaveno, ze se startuje z flashky, zavadec (~ grub ci lilo...) je na flashce (i s klicem), vnitrni disky nemusi mit zadny oddil aktivni, ani na vnitrnich discich neni (jiny/puvodni) zavadec.

Pokud by ti nevadilo že na flashce bude kromě zavaděče i kernel a initramdisk, tak je to přece přesně ono.

Nevim to jiste, ale nemyslim si, ze se pri updatu jadra aktualizuje i bootsrap kod.

Ne. Maximálně se aktualizuje konfigurace zavaděče pokud se nový kernel jmenuje jinak.