Зашифровано / загружается в LUKS LVM Ubuntu при установке

1695
hoveringfalcon

У меня Windows 8.1 уже в режиме UEFI. Я устанавливал Ubuntu 15.10 из установки Live. Установка прошла успешно, когда я остался /bootнезашифрованным. Вот схема:

sda1 400MB Reserved sda2 100MB EFI sda3 ~100MB Microsoft Reserved sda4 120GB Windows OS sda5 50GB LVM with luks

(пытался без отдельного /boot, то есть он в /)

 bootvol 512MB rootvol 15GB swapvol 4GB homevol rest of it

Проблема возникает, когда установщик пытается установить grub. Когда я устанавливаю установку загрузчика по умолчанию /dev/dm-0, он говорит "сбой установки grub".

Когда я устанавливаю его в раздел EFI, он говорит, что Grub не сможет загрузиться, и завершит установку. Когда я делаю это /dev/sda, он говорит то же самое, что и EFI.

2

1 ответ на вопрос

0
Clueless Guest

Why would you want to encrypt /boot?

Just keep it unencrypted. There is nothing in this directory (partition) that you'd need to keep private in any scenario.

It's standard practice for full-disk encryption on Linux to have a fully encrypted LVM plus an unencrypted boot partition. If an attacker is in a position to tamper with the contents of /boot, they already have direct access to your computer. Meaning that you can pretty much consider the device compromised anyway (if that's your paranoia mode). There's nothing an OS can do to help in this scenario. If that's your threat profile, you'll have to take additional (physical) steps to secure your data. If not, then just keep /boot as it is.

Злоумышленник может захватить диск и изменить ядро ​​и другие файлы, эти файлы находятся в /boot, которые могут содержать кейлоггер и т. д. ..... люди сделали это и опубликовали метод в Интернете. hoveringfalcon 8 лет назад 1
Exaclty. Как только злоумышленник получит ваше устройство, оно будет взломано (как хорошо). Вы никогда не будете вводить пароль снова. Clueless Guest 8 лет назад 0
Кстати, нет никакой разницы между незашифрованными Linux / методами загрузки и методами шифрования, используемыми в других ОС. Злоумышленник имеет ваше устройство - они могут тривиально заменить загрузчик, такой как TrueCrypt и т. Д. ([Ссылка] (https://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf) ) Clueless Guest 8 лет назад 0
Но в загрузчике Truecrypt и BitLocker нет ядра и других файлов ключей, чтобы что-то записывать в кейлог… hoveringfalcon 8 лет назад 0
http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ hoveringfalcon 8 лет назад 0

Похожие вопросы