MBR के अलावा / boot विभाजन से कौन-सी फाइलें, LUKS- एन्क्रिप्टेड लिनक्स के खिलाफ "दुष्ट नौकरानी" हमले का पता लगाने के लिए हैशेड किया जाना चाहिए?

4

क्या boot.img, initrd और vmlinuz पर्याप्त हैं या पूरी सामग्री को हैशेड किया जाना चाहिए? मैं खुद को विश्वास के साथ इसका जवाब देने के लिए लिनक्स बूट प्रक्रिया से परिचित नहीं हूं।

linux  security  encryption  hashing  luks 
IAmAGuest
स्रोत
2
मैं जवाब देने के लिए योग्य नहीं हूं, लेकिन मुझे लगता है कि आपको एक वैकल्पिक बूट अनुक्रम को रोकने के लिए बूट सेक्टर को मान्य करने की आवश्यकता होगी। मुझे उम्मीद है कि आप LUKS एन्क्रिप्टेड विभाजन को छोड़कर आदर्श रूप से हैश और सब कुछ जांचना चाहेंगे। बेशक, यह मदद नहीं करेगा अगर कोई हार्डवेयर कुंजी लकड़हारा लगा सकता है।
davidgo

जवाबों:

1

सुरक्षित शर्त सभी फाइलों को / बूट (कर्नेल, सिस्टम मैप, एमबीआर और बूट लोडर कॉन्फ़िगरेशन) पर हैश करने की होगी - हालांकि यह कहना कि दुष्ट नौकरानी सिर्फ हैश की जगह नहीं लेगी? इसलिए अब आपको GPG लागू करने की आवश्यकता है ताकि आप साइन इन कर सकें & amp; हैश फ़ाइल को सत्यापित करें। लेकिन अगर बुरी नौकरानी GPG को तोड़ दे तो क्या होगा ?? अरघ ...

इसलिए, मेरा सुझाव है कि यदि आप वास्तव में उस दुष्ट नौकरानी के बारे में चिंतित हैं, तो एक बेहतर उपाय यह है कि आप अपने बेल्ट पर एक हटाने योग्य किचेन प्रकार के यूएसबी डिवाइस को रखें। यह केवल बूट करने के लिए आवश्यक है। मैं एक लोचदार टीथर वाली चीज़ पर एक निफ्टी का उपयोग करता हूं।

Nanzikambe
स्रोत
यूईएफआई को सिक्योरबूट या टीपीएम के साथ उपयोग करने पर विचार करना चाहिए। क्योंकि एक बार सिस्टम ने एक अविश्वसनीय बूटलोडर या कर्नेल निष्पादित किया है, तो बहुत देर हो चुकी है।
Franklin Piat
UEFI के पास कई Ring0 कारनामे हैं जो सुरक्षा अब सुरक्षा जाल नहीं है :( मैं व्यक्तिगत रूप से एक बूट पर बैकअप / बूट रखता हूं और सिस्टम पूरी तरह से गैर-उपयोग पर बंद है और मेरी कर्नेल छवियों को केवल हार्डलिंक के बिना HOST बनाया जा सकता है (इसलिए क्रिप्ट है) बूट किए बिना बूट नहीं होने वाला (जो बिना usb के नहीं हो रहा है)
linuxdev2013
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.