Vlákno názorů k článku Vzdálené odemykání šifrovaného disku na serveru s Debianem od anonym - Ani zmínka o šifrování boot partition? Možnosti bootloaderu...
-
Zmínka o kompletně šifrovaném disku je hned v prvním odstavci a je tam odkaz na článek, který to celé podrobně popisuje. Já to tak používám na desktopu. Ovšem není to kompatibilní se vzdáleným odemykáním, protože Grub neobsahuje SSH server.
-
Grub by mel podporovat ovladani pres serial, ale pred casem kdyz sem s tim laboroval se mi to kompletne zprovoznit nepodarilo :-)
Nicmene misto Grub pouzivam Sicherboot - ten zabali jadro + initramdisk do EFi binarny na EFI oddil, podepise vlasnima(=mejma) klicema, s tim ze na desce v EFI jsou pouze tyhle (nikoliv ty puvodni a microsofti) klice...
oddil /boot pak je sifrovanej, deska jine nez me EFI binarky nenatahne, a odemykam vzdalene pred dropbear...varianta co mas s Grub nesifrovanej /boot kde je initramdisk lze snadno utocnikem zamenit za initramdisk s keylogerem ;-)
-
@Jiri Dobry
trochu neucesane a je potreba cist i ty veci pod tim co doplnujou/opravujou, ale pred casem sem to psal tady:
https://www.abclinuxu.cz/poradna/linux/show/447760#48 -
Zdravim Petře,
ten odkazovaný článek je více jak 2 roky starý a postup šel replikovat jen na Debian 9. Už od Debian 10 (a např. *buntu odvozeninách) nebyl postup v článku aplikovatelný - tzn. cca 7 měsíců od článku.
Důvod byl zřejmě LUKS2 a jeho nepodpora v GRUBu. Proto s Debian 10/11 musel být /boot buď nešifrovaný nebo šifrované oddíly musely být LUKS1.
Nyní už je v (unstable větvi) Debianu Grub 2.06 který LUKS2 podporuje.
Až se dostane alespoň do testing větve Debianu (v řádu dní?) resp. *buntu 22.04, plánujete udělat aktualizaci odkazovaného článku?
