Criptografar o sistema de arquivos de inicialização

Question

Criptografar o sistema de arquivos de inicialização

#1 resposta do (3 votos)

4

Eu apenas tentei configurar o Debian em uma VM (apenas testando, antes de instalá-lo em um sistema real).

Eu configurei 4 unidades no total. 2 unidades que simulam pen drives, nas quais desejo instalar o carregador de inicialização e o sistema de arquivos de inicialização mais tarde, e outras 2 unidades. Cada unidade é configurada como RAID1 criptografado (md0_crypt e md1_crypt). No entanto, não consigo colocar o sistema de arquivos de inicialização no meu md0_crypt, porque recebo o aviso de que um cannot store the /boot FS on an encrypted partition, because it needs to load the kernel and initrd .

Então, estou certo de que não posso criptografar meu / boot FS? O boot FS é apenas para o carregador de inicialização (grub) ou há mais alguma coisa? Eu gostaria de ter o cenário que se eu desligar o meu pen drive que o sistema não pode ser iniciado mais, uma vez que o / boot FS está instalado no pen drive.

boot encryption debian

por Cherrun 22.09.2012 / 10:11

1 resposta

Tags boot encryption debian

Use autenticação de chave SSH com usuário personalizado $ HOME Ajuda para descompactar um .dd.gz, possivelmente corrompido

score 3 · Accepted Answer

Como a mensagem descreve, você não pode colocar /boot em um contêiner de criptografia. Para desbloquear o contêiner de criptografia, você precisa acessar alguns utilitários. Se esses utilitários estiverem dentro do contêiner de criptografia, você está em uma situação de conflito .

Como uma solução alternativa , use um terceiro recipiente de RAID pequeno não criptografado contendo apenas o sistema de arquivos /boot .

Da perspectiva de segurança, isso não é uma grande perda. O /boot deve conter apenas dados técnicos. Há uma pequena ressalva: se você usar uma senha para o GRUB, ela deverá ser diferente da frase secreta do contêiner de criptografia.