Загрузка UEFI с шифрованием /boot в Ubuntu 14.04 LTS

Мне удалось заставить FDE (Full disk Encryption) работать вполне успешно на системе MBR/BIOS с использованием таблицы разделов DOS, у меня есть только /dev/sda1 и /dev/sda2 для контейнеров подкачки и корневого LUKS соответственно. Это работает, потому что в начале 2014 года grub2 поддерживает зашифрованные / загрузочные разделы, изначально поддерживая dm-crypt в той части загрузчика, которая записывается в MBR. Все хорошо

Однако с UEFI бинарный файл grubx64.efi способен обрабатывать контейнеры dm-crypt/luks? У меня не было радости заставить это работать. Все примеры, которые я видел, были либо с / boot зашифрованы, но с использованием MBR/BIOS, либо / boot незашифрованы с помощью UEFI.

Я знаю, что это меньше проблем с подписанными ядрами и безопасной загрузкой UEFI, но это все еще оставляет возможность открытой для некоторой формы взлома (изменение initramfs - или это подписано?, замена модуля grub? И т. Д.).

Обратите внимание, что любые ответы должны относиться к 14.04 LTS, а не к 16.04 и т. Д. Если grubx64.efi пропустил вечеринку dm-crypt за 14.04, тогда я могу использовать MBR/BIOS. Я просто пытаюсь выяснить, возможно ли это на самом деле.

Спасибо заранее,

Джон.

2 ответа

Мне было интересно, есть ли какие-либо обновления о возможности зашифровать загрузку рядом с root, используя EFI + Secure boot.

Я нашел https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system

Но я не смог приспособить пример к fedora 28 (пока не пробовал ubuntu 18.04).

Насколько я могу судить, загрузчик UEFI не может использовать зашифрованную область загрузки, где находится вариант MBR. Очевидно, что UEFI меньше беспокоит, поскольку можно использовать безопасную загрузку и подписанные образы ядра (более строго соблюдаемые в 16.04). С MBR все может быть зашифровано, кроме первого загрузчика grub на основе MBR (что-то нужно для расшифровки root!). Это может быть скомпрометировано, но сделать это будет гораздо сложнее, чем, скажем, заменить ядро ​​в незащищенной системе UEFI. Также не забудьте оставить 2048 секторов в начале диска MBR (как новый fdisk делает) для дополнительного места для расшифровки загрузчика первой стадии. Если вы не можете сделать это, вам придется перейти на отдельный незашифрованный загрузочный раздел.

Надеюсь, что это помогает другим.

Другие вопросы по тегам