¿Hay algún cargador de arranque de Linux que admita cifrado de disco completo (a la TrueCrypt )? Sé que hubo trabajo para agregar soporte de encriptación a GRUB2, pero aún no parece estar listo. ¿Alguna otra opción?
(Tenga en cuenta que realmente me estoy refiriendo al cifrado de disco completo aquí, incluido /boot
)
La mayoría de las respuestas describen una configuración donde /boot
no está encriptada, y algunas de ellas intentan explicar por qué una no encriptada /boot
debería estar bien.
Sin entrar en una discusión sobre por qué realmente necesito / arranque para estar encriptado, aquí hay un artículo que describe exactamente lo que necesito, basado en una versión modificada de GRUB2:
El problema con esto es que estas modificaciones aparentemente no son compatibles con la base de código GRUB2 actual (o tal vez estoy pasando por alto algo).
fuente
Respuestas:
Creo que la versión actual de GRUB2 no tiene soporte para cargar y descifrar particiones LUKS por sí misma (contiene algunos cifrados, pero creo que se usan solo para su contraseña). No puedo verificar la rama de desarrollo experimental, pero hay algunos indicios en la página de GRUB de que se planea un trabajo para implementar lo que desea hacer.
Actualización (2015) : la última versión de GRUB2 (2.00) ya incluye código para acceder a las particiones cifradas LUKS y GELI. (El enlace xercestch.com que proporcionó el OP menciona los primeros parches para eso, pero ahora están integrados en la última versión).
Sin embargo, si está intentando cifrar todo el disco por razones de seguridad, tenga en cuenta que un cargador de arranque no cifrado (como TrueCrypt, BitLocker o un GRUB modificado) no ofrece más protección que una
/boot
partición no cifrada (como lo señaló JV en un comentario anterior) . Cualquier persona con acceso físico a la computadora puede reemplazarla fácilmente con una versión personalizada. Eso incluso se menciona en el artículo en xercestech.com que vinculó:Tenga en cuenta que todos los productos basados en software para el cifrado de disco completo tienen esta debilidad, sin importar si usan un cargador de arranque sin cifrar o una partición de arranque / prearranque sin cifrar. Incluso los productos con soporte para chips TPM (Trusted Platform Module), como BitLocker, se pueden rootear sin modificar el hardware.
Un mejor enfoque sería:
/boot
partición en este caso) en un dispositivo extraíble (como una tarjeta inteligente o una memoria USB).Para hacerlo de la segunda manera, puede consultar el proyecto Linux Full Disk Encryption (LFDE) en: http://lfde.org/ que proporciona un script posterior a la instalación para mover la
/boot
partición a una unidad USB externa, encriptando la clave con GPG y almacenarlo en el USB también. De esa manera, la parte más débil de la ruta de arranque (la/boot
partición no cifrada ) siempre está con usted (usted será el único con acceso físico al código de descifrado Y la clave). ( Nota : este sitio se perdió y el blog del autor también desapareció, sin embargo, puede encontrar los archivos antiguos en https://github.com/mv-code/lfde solo tenga en cuenta que el último desarrollo se realizó hace 6 años). Como alternativa más ligera, puede instalar la partición de arranque sin cifrar en una memoria USB mientras instala su sistema operativo.Saludos, MV
fuente
/boot
particiones cifradas con GRUB2.Haga que su RAMdisk inicial y la carpeta / boot no utilicen cifrado.
Esto abrirá un núcleo "mínimo", con controladores y soporte para cambiar al sistema de archivos raíz "real" que está encriptado.
Antes de reclamar "esto es un hack", recuerde, la mayoría (si no todas) las distribuciones de Linux arrancan de esta manera hoy de forma predeterminada. Esto permite explícitamente que su sistema arranque y cargue su FS raíz, utilizando módulos que necesita cargar desde un sistema de archivos. (Una especie de problema de huevo y gallina). Por ejemplo, si su sistema de archivos raíz estaba en un volumen RAID de hardware, y necesitaba cargar su controlador antes de poder montar su FS raíz.
fuente
Revisé el enlace que publicó: aunque no hay una partición de arranque, todavía hay un cargador de arranque no cifrado en el disco duro al que se puede acceder y comprometer mediante un malvado ataque de mucama. He estado buscando una configuración similar, en la que no hay datos sin cifrar en el disco duro, pero hasta ahora solo he logrado ejecutar un cargador de arranque desde una unidad extraíble.
fuente
Creo que la mayoría de ellos lo hacen, lo que necesita es instrucciones sobre cómo instalar el sistema operativo con HD encriptado en primer lugar.
Ubuntu tiene una buena página con instrucciones sobre cómo hacer particiones cifradas, LMVP, carpetas, etc., solo busque en Google su versión de distribución de eso ...
fuente
No, creo que no hay.
¿Realmente necesitas cifrar / arrancar? Sospecho que no. El resto del sistema de archivos puede ser encriptado por el software normal de Linux que reside en un initramfs en / boot y solicita al usuario en consecuencia.
fuente
Parece que estás pidiendo algo que es imposible de hacer y lo comparas con una solución de Windows que te oculta la implementación, pero en realidad está haciendo lo mismo que Linux.
La solución más cercana que se me ocurre es utilizar un disco duro que implemente una contraseña de seguridad y cifrado. Algunas de las computadoras portátiles Thinkpad usan estas soluciones de hardware.
fuente
La respuesta es insinuada por el artículo. "Esto ahora es posible con extensiones para el cargador de arranque GRUB2 de próxima generación, que ha sido parcheado para soportar no solo" y "deseamos instalar nuestra nueva imagen grub2 habilitada para luks más adelante" y "Ahora compilamos la fuente GRUB2 habilitada para LUKS. " Parece que hay un parche o extensión que necesita obtener e incluir con GRUB2, o una fuente GRUB2 bifurcada.
fuente
Grub2 versión 2.02 ~ beta3 puede hacer muchas cosas que Grub2 versión 2.02 ~ beta2 no puede hacer, probado por mí:
Eso cargará otro Grub2 que está dentro de una partición encriptada, un ataque loco malvado no tiene sentido aquí ... Estoy arrancando desde un CD (medio de solo lectura), luego montando una partición encriptada (sin la frase de contraseña, ¿cómo puede alguien atreverse? ¡inyecte cualquier cosa!), luego inicie desde dentro de la partición cifrada y cargue un Grub2 con su propio menú, etc.
Nota: Tal arranque Grub 2.02 ~ beta3 (uso Super Grub 2 cd) puede estar en una memoria USB, USB HDD, etc.
Advertencia: Grub2 versión 2.02 ~ beta2 no puede hacer lo mismo ya que tiene algunos ERRORES (que parecen estar corregidos en Grub2 versión 2.02 ~ beta3) relacionados con el comando cryptomount ...
Los errores beta2 de los que hablo son:
cryptomount -a
solo solicita una frase de contraseñaen beta 3:
Nota al margen: no descubrí cómo desmontarlos, excepto reiniciar o arrancar otro o mismo grub2 / otro gestor de arranque, etc.
Espero que esto ayude a aclarar las cosas, y espero que Grub2 versión 2.02 ~ beta3 se integre en LiveCD para que podamos instalarlo sin necesidad de compilarlo nosotros mismos.
PD: con el disco Super Grub 2 no puedo ver ninguna forma de instalar Grub2 versión 2.02 ~ beta3 en la partición MBR / boot, etc.
fuente