Uefi e criptografia de disco completo com lvm em luks

4

Eu tenho uma máquina ASUS na qual eu posso escolher entre o BIOS antigo e o novo UEFI. Eu sempre usei o antigo sistema de BIOS, rodando um Debian criptografado completo com a seguinte configuração:

  1. Uma partição de inicialização não criptografada montada em /boot

  2. Todo o resto do espaço criptografado com o LUKS e com todos os volumes lógicos do LVM ( / , swap, /home ) nele.

Tudo funciona bem e sem problemas. Mas eu estava vagando se eu quiser fazer uma nova instalação a partir do zero (eu não quero converter coisas) usando UEFI, e eu tenho que criar a partição FAT32 EFI montada em /boot/efi , eu ainda preciso da% co_de não criptografada % partição, ou apenas a partição EFI e todo o resto criptografado?

Em outras palavras, qual configuração estaria correta?

  • /boot
  • /boot/efi
  • Volume LUKS criptografado

ou

  • /boot
  • Volume LUKS criptografado?
por Egidiux 23.09.2013 / 13:04

1 resposta

2

Sim, eu sei que é uma resposta bem atrasada, mas antes tarde do que nunca ...

Eu não sei se o Debian tem as ferramentas para isso, mas usando o Arch Linux você pode crie um layout de disco assim:

  • Partição EFI (montada /boot/efi ) com bootloader grub EFI , partição de tipo EFI fat32 formatada EF00 . Pode ser seu /dev/sda1 . Esta partição irá apenas conter o stub do grub, para pedir a senha para montar a sua partição de inicialização.
  • partição de inicialização (montada /boot ) que é um dispositivo de criptografia luks. Após o crypto desbloquear esta partição, você pode formatá-la usando qualquer sistema de arquivos ao qual o grub seja compatível (ext4 por exemplo). Este será seu /dev/sda2
  • Dispositivo de criptografia que armazenará todas as partições restantes como volumes lógicos. Dispositivo de criptografia, com LVM e seus volumes lógicos (3 camadas). Este será seu /dev/sda3 .
    • Aqui, você pode criar quantos volumes lógicos desejar / precisar. A chave que desbloqueia essa partição será usada para acessar dados em todos os seus volumes lógicos.

Pegando emprestado do Arch Wiki, é assim que o layout do disco será:

+---------------+----------------+----------------+----------------+----------------+
|ESP partition: |Boot partition: |Volume 1:       |Volume 2:       |Volume 3:       |
|               |                |                |                |                |
|/boot/efi      |/boot           |root            |swap            |home            |
|               |                |                |                |                |
|               |                |/dev/store/root |/dev/store/swap |/dev/store/home |
|/dev/sdaX      |/dev/sdaY       +----------------+----------------+----------------+
|unencrypted    |LUKS encrypted  |/dev/sdaZ encrypted using LVM on LUKS             |
+---------------+----------------+--------------------------------------------------+ 

Advertências :

  • O Grub pedirá uma senha para desbloquear /boot , o disco de RAM inicial pedirá uma senha AGAIN (porque ele está com /boot bloqueado) e provavelmente durante a montagem da sua partição root isso acontecerá mais uma vez . O truque aqui é usar uma chave mestra dentro do seu /boot ( e talvez dentro de seu initrd com a opção FILES= de mkinitcpio e adicione com luksAddKey . Sua partição de boot é criptografada, então não é necessário preocupar-se porque a chave está dentro de uma partição criptografada. chmod 000 keyfile.bin is seu amigo.
  • Adicione encrypt lvm2 a mkinitcpio ganchos.
  • Se, por algum motivo, seu sistema não puder usar a chave, uma senha será solicitada novamente.
  • Você ainda estará vulnerável a ataques Maid Maid que exploram Cold Boot falhas. O melhor que você pode fazer aqui é:
    • Ativar inicialização segura.
    • Assine seu Grub EFI.
    • Revogue a CA da Microsoft no seu Motherbord (você sabe, não pode confiar em ninguém).
    • Lembre-se de assinar seu programa efi sempre que você tiver uma atualização do pacote grub-efi .

Leitura adicional:

Após algumas pesquisas sobre a necessidade de manter a partição de boot fora do lvm (até onde eu sei, o grub-pc / bios tinha lvm e luks modules) eu encontrei este cara nos Fóruns do Arch confirmando que não há necessidade de manter /boot em uma partição de criptografia de reserva.

Você pode instalar o grub no seu ESP , e também dizer para ler os arquivos de configuração do como este :

# grub-install --target=x86_64-efi --efi-directory=esp --bootloader-id=grub --boot-directory=esp

depois disso, regenere conf:

# grub-mkconfig -o esp/grub/grub.cfg

E, parece que grub é o único gerenciador de inicialização que tem suporte para inicializar o lvm + crypto sem uma partição / boot separada.

    
por 27.10.2016 / 15:30