MBR के अलावा / boot विभाजन से कौन-सी फाइलें, LUKS- एन्क्रिप्टेड लिनक्स के खिलाफ "दुष्ट नौकरानी" हमले का पता लगाने के लिए हैशेड किया जाना चाहिए?


4

क्या boot.img, initrd और vmlinuz पर्याप्त हैं या पूरी सामग्री को हैशेड किया जाना चाहिए? मैं खुद को विश्वास के साथ इसका जवाब देने के लिए लिनक्स बूट प्रक्रिया से परिचित नहीं हूं।


2
मैं जवाब देने के लिए योग्य नहीं हूं, लेकिन मुझे लगता है कि आपको एक वैकल्पिक बूट अनुक्रम को रोकने के लिए बूट सेक्टर को मान्य करने की आवश्यकता होगी। मुझे उम्मीद है कि आप LUKS एन्क्रिप्टेड विभाजन को छोड़कर आदर्श रूप से हैश और सब कुछ जांचना चाहेंगे। बेशक, यह मदद नहीं करेगा अगर कोई हार्डवेयर कुंजी लकड़हारा लगा सकता है।
davidgo

जवाबों:


1

सुरक्षित शर्त सभी फाइलों को / बूट (कर्नेल, सिस्टम मैप, एमबीआर और बूट लोडर कॉन्फ़िगरेशन) पर हैश करने की होगी - हालांकि यह कहना कि दुष्ट नौकरानी सिर्फ हैश की जगह नहीं लेगी? इसलिए अब आपको GPG लागू करने की आवश्यकता है ताकि आप साइन इन कर सकें & amp; हैश फ़ाइल को सत्यापित करें। लेकिन अगर बुरी नौकरानी GPG को तोड़ दे तो क्या होगा ?? अरघ ...

इसलिए, मेरा सुझाव है कि यदि आप वास्तव में उस दुष्ट नौकरानी के बारे में चिंतित हैं, तो एक बेहतर उपाय यह है कि आप अपने बेल्ट पर एक हटाने योग्य किचेन प्रकार के यूएसबी डिवाइस को रखें। यह केवल बूट करने के लिए आवश्यक है। मैं एक लोचदार टीथर वाली चीज़ पर एक निफ्टी का उपयोग करता हूं।


यूईएफआई को सिक्योरबूट या टीपीएम के साथ उपयोग करने पर विचार करना चाहिए। क्योंकि एक बार सिस्टम ने एक अविश्वसनीय बूटलोडर या कर्नेल निष्पादित किया है, तो बहुत देर हो चुकी है।
Franklin Piat

UEFI के पास कई Ring0 कारनामे हैं जो सुरक्षा अब सुरक्षा जाल नहीं है :( मैं व्यक्तिगत रूप से एक बूट पर बैकअप / बूट रखता हूं और सिस्टम पूरी तरह से गैर-उपयोग पर बंद है और मेरी कर्नेल छवियों को केवल हार्डलिंक के बिना HOST बनाया जा सकता है (इसलिए क्रिप्ट है) बूट किए बिना बूट नहीं होने वाला (जो बिना usb के नहीं हो रहा है)
linuxdev2013
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.