BnW — minoru: Посоны, потерял ссылку про full disk encryption…

Посоны, потерял ссылку про full disk encryption в Debian (с GRUB2). По-настоящему full, то есть /boot тоже шифруется. Помогите отыскать, а? Я не могу нагуглить что-то.

#401FI9 / @minoru / 3494 дня назад

Нашёл: http://michael-prokop.at/blog/2014/02/28/full-crypto-setup-with-grub2/

#401FI9/NI5 / @minoru / 3494 дня назад

Зачем шифровать /boot?

#401FI9/W1H / @l29ah / 3494 дня назад

@l29ah Чтобы злые дяди не добавили в мой initramfs модуль, сливающий пароль к моему LUKS-разделу, например.

#401FI9/FOL / @minoru --> #401FI9/W1H / 3494 дня назад

@minoru Не парься, они просто добавят в твой граб гипервизор.

#401FI9/T8Y / @l29ah --> #401FI9/FOL / 3494 дня назад

@l29ah Э-э-э, что? Поясни, пожалуйста.

#401FI9/91G / @minoru --> #401FI9/T8Y / 3494 дня назад

@minoru Берётся твой граб, в него добавляется, например, правильный инитрамфс, который потом зовёт твой инитрамфс.

#401FI9/TG8 / @l29ah --> #401FI9/91G / 3494 дня назад

@l29ah Стоп-стоп-стоп. Как они могут взять мой граб, если он на зашифрованном разделе? Или ты про тот кусочек граба, что в MBR? Или ты предполагаешь, что злые дяди могут присылать мне апдейты, дёргающие update-initramfs?

#401FI9/SZW / @minoru --> #401FI9/TG8 / 3494 дня назад

@minoru Да, я про него. Опять же, у тебя в биосе может быть гипервизор.

#401FI9/ACX / @l29ah --> #401FI9/SZW / 3494 дня назад

@l29ah М, ну те пара килобайт, что в MBR — это гораздо более маленькая attack surface, чем целый /boot. BIOS — это уже другой уровень. Шифрование /boot — это всего лишь ещё один маленький шаг в сторону более защищенной системы.

#401FI9/7R7 / @minoru --> #401FI9/ACX / 3494 дня назад

@minoru Чо за другой уровень? Если чувак может добраться до твоего /boot, то он и биос переписать может.

#401FI9/LFS / @l29ah --> #401FI9/7R7 / 3494 дня назад

@l29ah Чтобы переписать мой /boot, много ума не нужно: делаем chroot с debian, компилим там нужный им модуль, потом тупо грузимся на моей машине с livecd и копируем модуль в /boot. А вот BIOS переписать уже не каждая домохозяйка может. Потому-то и другой уровень.

#401FI9/70G / @minoru --> #401FI9/LFS / 3494 дня назад

@minoru Забавная у тебя домохозяйка, избирательная. Мои знакомые вендобляди ничего не знают про /boot, но биосы себе обновляли, а некоторые даже ковырялись в них для модных лого и выпиливания вендорлока. Алсо, в биосе троян может быть искаропки. Так что лучше бы ты себе coreboot поставил.

#401FI9/NBE / @l29ah --> #401FI9/70G / 3494 дня назад

> загружаться не с флешки

#401FI9/KKD / @komar / 3494 дня назад

@l29ah Ковырялись? Да ладно! Но ок, я теперь подумаю и про coreboot тоже. Спасибо!

#401FI9/INF / @minoru --> #401FI9/NBE / 3494 дня назад

@komar Такое себе решение: можно потерять, не слишком сложно подменить (живу в общаге прост).

#401FI9/1NH / @minoru --> #401FI9/KKD / 3494 дня назад

@minoru > шифруется от соседей в общаге Блядь, как вы заебали со своими задротопроблемами.

#401FI9/4D1 / @komar --> #401FI9/1NH / 3494 дня назад

@komar Блядь, блядь комар блять блядь сука. А теперь по-русски: да, шифруюсь, почему бы и нет? Тут есть люди, которым хватит мозгов и прямоты рук в качестве пранка поломать мне систему, я считаю.

#401FI9/U4T / @minoru --> #401FI9/4D1 / 3494 дня назад