2

Я смотрел на системное шифрование с помощью ArchLinux, и я думаю, что я понял это, но у меня есть вопрос по поводу раздела /boot. После загрузки системы можно ли размонтировать раздел /boot и позволить системе продолжить работу?

Я думал об установке / загрузке с USB-накопителя, поскольку его нельзя оставить зашифрованным, а затем загрузить с USB-накопителя, который загрузит зашифрованный жесткий диск. Тогда я могу вынуть USB-ключ и просто использовать систему как обычно.

Я хочу сделать это потому, что если злоумышленнику удалось получить физический доступ к машине, он мог бы изменить раздел /boot с помощью регистратора нажатий клавиш и украсть ключ, а если у него уже была копия зашифрованных данных, он мог бы просто сидеть сложа руки и ждать ключа. Я думаю, я мог бы придумать систему проверки того, что загрузка не затрагивалась при каждом запуске.

Это было сделано раньше? Любое руководство для его реализации самостоятельно?

1 ответ1

1

Да, это возможно и даже рекомендуется, если вы шифруете диск.

Единственное, что вы должны помнить, это подключать его при обновлении ядра. Все остальное просто: вы разбиваете USB-накопитель, устанавливаете GRUB (или LILO) на нем, устанавливаете раздел /boot качестве загрузочного, используя UUID или LABEL в параметре root= в конфигурации загрузчика, и у вас должно быть рабочее решение.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .