暗号化されたLinuxをクラックできるGRUB感染を防ぐ

暗号化されたLinuxをクラックできるGRUB感染を防ぐ

GRUBを含む暗号化されていない/bootパーティションとLinuxを含む暗号化されたパーティションがあります。暗号化されたパーティションを読み取ろうとする攻撃者は、物理的に自分のコンピュータにアクセスし、暗号化されていないGRUBを修正して次にLinuxを起動し、暗号化されたパスワードを入力すると、パスワードがインターネットに直接アップロードされるか、少なくとも暗号化されていない状態でディスクに保存されます.することができます。

私はこの種の攻撃から保護する方法を見つけました。コンピュータを起動する前に、USBドライブから起動してGRUBの整合性を確認できました。しかし、GRUBが頻繁に変わるので、それほど単純ではなく、GRUBパーティションでのみハッシュを計算することはできません。

誰でも他のアイデアを提供できますか?

答え1

USBドライブに起動ファイルをインストールし、定期的に起動するたびに使用できます。これにより、ディスク全体を暗号化できます。

カーネルがロードされたら、USBドライブをマウント解除できます。カーネルの更新(ドライブに新しいカーネルをインストールする)または起動構成の変更中にのみインストールが必要です。または、システムで暗号化されたブートパーティションを維持し、それを手動でUSBディスクに同期させることもできます。 USBドライブが破損したり紛失した場合でも、簡単に回復できます。

答え2

あなたならどうでしょうか?主にファイルに保存されているデータを保護することに興味がありますが、コンピュータにオペレーティングシステムをインストールするのはなぜですか?

良好であることが知られているイメージを持つUSBドライブからPCを起動し、必要に応じて起動後に暗号化されたパーティションをマウントしてファイルを復号化できます。

あなたのものを守りたいなら活動PCでは、強力なネットワークセキュリティが考慮すべき追加の防御層である可能性があります。ネットワークアップストリームデバイスに対して厳密に管理されているアウトバウンドファイアウォールポリシーを維持すると、PCが感染して家に帰る可能性が大幅に削減されます。

どちらにしても、本当のセキュリティ目標を定義し、深く考えてみてください。 1つのセキュリティ戦略(暗号化など)に集中するのではなく、潜在的なセキュリティ問題を軽減することを期待しないでください。

関連情報