Шифрование загрузочного раздела в Linux (RHEL)

Question

ВСЕ,

Недавно мы прошли процесс сертификации и обнаружили, что злоумышленник может получить доступ к разделу /boot.

Было предложено зашифровать весь жесткий диск, включая раздел /boot, чтобы смягчить это.

Вот вопросы, которые у меня есть:

1. Как генерируется пароль для процедуры загрузки для расшифровки раздела /boot? Есть ли у нас как команды разработчиков / разработчиков ИА контроль?

Причина в том, что у нас есть процесс дублирования жесткого диска после создания релиза и помещения его на жесткий диск. Также возможно, что жесткий диск может быть вставлен в другую машину.

Как эти ситуации будут обработаны? Нужно ли будет генерировать пароль после каждой копии HD? Будет ли пароль копироваться с каждым выпуском, и мы получим один и тот же пароль для нескольких жестких дисков? Будет ли пароль зависеть от аппаратного обеспечения, которое использовалось для его создания, или оно будет создано другими способами?

На каких других виновников мы должны смотреть, чтобы увидеть, выполнимо ли это или не может быть сделано из-за времени / денег / процесса?

Спасибо за любые указатели, которые вы можете предоставить. Это первый раз, когда мы проходим этот тест, и этот спотыкается нас.

Answer 1

Курица и яйцо проблема ... Что-то должно загрузиться сначала с незашифрованного носителя, чтобы расшифровать загрузочный раздел ... Это одна из целей UEFI. Программа загрузки подписана, и машина не запустит неподписанную или поврежденную загрузку. Другое решение состоит в том, чтобы загружаться только с носителя только для чтения (при условии, что вы можете сохранить его в безопасности и принудительно применять).

В вашем вопросе неясно, как злоумышленники могут получить доступ к разделу /boot . Если они сделают это, проникнув в работающую систему, никакое шифрование не спасет вас. Если они делают это, потому что у них есть физический доступ к системе, то у них есть множество других методов атаки .

Для более подробного ответа см. Https://security.stackexchange.com/.