Vlákno názorů ke zprávičce Šifrovaný root LVM od Shadow - Možná jsem slepý, rozhodně se rád nechám vyvést...
-
Shadow (neregistrovaný)Možná jsem slepý, rozhodně se rád nechám vyvést z omylu, ale já tam skutečně nevidím návod, jak "jak zašifrovat kernel image a při startu ji rozbalit do paměti pomocí initramfs". Já vidím pouze návod, jak přidat další šifrovaný oddíl do volume group (LVM), která obsahuje kořenový oddíl.
Sám bych rozhodně uvítal návod, jak zašifrovat i jádro (a nejlépe i initrd), abych nemusel mít nešifrovaný /boot, když je vše ostatní zašifrováno.
Kromě toho, vámi zmíněný pvcrypt není žádný šifrovací systém, jak to ze znění zprávičky vypadá ("zašifrovaný pomocí pvcrypt"), nýbrž název zašifrovaného oddílu, na kterém je vytvořena příslušná volume group. -
JardaP (neregistrovaný)V kazdem spionaznim filmu agenti prece pracuji v noci. Prijedou neosvetlenym cernym autem, vystoupi v dlouhych kabatech a sirokych kloboucich narazenych do cela, nainstaluji stenice a jedou. Ale pokud chcete, mohli by vam jadro vymenit treba v poledne, az do sebe budete cpat halusky.
-
Shadow (neregistrovaný)Vzhledem k tomu, že diskové šifrování je opatření proti fyzickým útokům na daný stroj, nešifrovaný /boot (s nešifrovanými obrazy jádra) dává případnému útočníkovi s fyzickým přístupem k danému stroji jednu možnost - podvrhnout jádro nebo initrd. Může tak získat klíče k dešifrování oddílů, popřípadě tam rovnou hodí nějaký rootkit, aby se ke stroji mohl dostat vzdáleně. Možností je relativně hodně.
-
Zdenek (neregistrovaný)V pripade fyzickeho napadeni je jedno jestli mate sifrovany i kernel. Jednoduse vam nasadi hw keyloger a priste uz ty hesla utocnik vedet bude. Nebo upraveny grub. Nebo upraveny BIOS :-) Muzete si pochopitelne /boot nosit u sebe, treba na flasce, ale porad jakmile pocitate s tim ze to strcite do "upraveneho" pocitace mate problem. Jedine reseni je nosit pocitac stale u sebe :-)
ČLÁNKY DO MAILU