Myslím, že aktuální verze GRUB2 nemá podporu pro načítání a dešifrování LUKS oddílů sama o sobě (obsahuje nějaké šifry, ale myslím, že se používají pouze pro jeho podporu hesel). Nemohu zkontrolovat experimentální vývojovou větev, ale na stránce GRUB je několik náznaků, že se plánuje nějaká práce na implementaci toho, co chcete udělat.
Aktualizace (2015) :nejnovější verze GRUB2 (2.00) již obsahuje kód pro přístup k šifrovaným oddílům LUKS a GELI. (Odkaz na xercestch.com poskytnutý OP zmiňuje první záplaty, ale ty jsou nyní integrovány v nejnovější verzi).
Pokud se však z bezpečnostních důvodů pokoušíte zašifrovat celý disk, mějte na paměti, že nešifrovaný zavaděč (jako TrueCrypt, BitLocker nebo upravený GRUB) nenabízí o nic větší ochranu než nešifrovaný /boot oddíl (jak uvedl JV v komentáři výše). Každý, kdo má fyzický přístup k počítači, jej může stejně snadno nahradit vlastní verzí. To je dokonce zmíněno v článku na xercestech.com, který jste propojili:
Aby bylo jasno, v žádném případě to nečiní váš systém méně zranitelným vůči offline útoku. Pokud by útočník nahradil váš zavaděč svým vlastním nebo přesměroval zaváděcí proces, aby zavedl svůj vlastní kód, váš systém může být stále ohrožen.
Všimněte si, že všechny softwarové produkty pro úplné šifrování disku mají tuto slabinu, bez ohledu na to, zda používají nešifrovaný zavaděč nebo nešifrovaný zaváděcí/předbootovací oddíl. Dokonce i produkty s podporou čipů TPM (Trusted Platform Module), jako je BitLocker, lze rootovat bez úpravy hardwaru.
Lepší přístup by byl:
- dešifrování na úrovni systému BIOS (v základní desce nebo diskovém adaptéru nebo externím hardwaru [smartcard], s čipem TPM nebo bez něj), nebo
- nosit kód PBA (autorizace před spuštěním) (
/bootoddíl v tomto případě) na vyměnitelném zařízení (jako je čipová karta nebo USB klíčenka).
Chcete-li to provést druhým způsobem, můžete zkontrolovat projekt Linux Full Disk Encryption (LFDE) na adrese:http://lfde.org/, který poskytuje poinstalační skript pro přesunutí /boot oddíl na externí USB disk, zašifrování klíče pomocí GPG a jeho uložení na USB také. Tímto způsobem bude slabší část spouštěcí cesty (nešifrované /boot oddíl) je vždy s vámi (budete jediný, kdo bude mít fyzický přístup k dešifrovacímu kódu A klíči). (Poznámka :tento web byl ztracen a blog autora také zmizel, nicméně staré soubory můžete najít na https://github.com/mv-code/lfde, jen si všimněte, že poslední vývoj byl proveden před 6 lety). Jako lehčí alternativu můžete nainstalovat nezašifrovaný spouštěcí oddíl na USB klíč během instalace operačního systému.
S pozdravem MV
Nastavte, aby váš počáteční RAMdisk a složka /boot nepoužívaly šifrování.
Tím se zobrazí "minimální" jádro s ovladači a podporou pro přechod na "skutečný" kořenový souborový systém, který je zašifrované.
Než prohlásíte „toto je hack“ – pamatujte – většina (pokud ne všechna) distribucí Linuxu se dnes standardně spouští tímto způsobem. To explicitně umožňuje vašemu systému zavést a načíst váš kořenový FS pomocí modulů, které potřebuje načíst ze souborového systému. (Takový problém s kuřecím masem a vejci). Jako například, pokud byl váš kořenový souborový systém na hardwarovém svazku RAID a vy jste potřebovali načíst jeho ovladač, než jste mohli připojit svůj kořenový FS.
Zkontroloval jsem odkaz, který jste zveřejnili - i když neexistuje žádný spouštěcí oddíl, na pevném disku je stále nezašifrovaný zavaděč, ke kterému by bylo možné získat přístup a kompromitovat jej pomocí útoku zlé panny. Díval jsem se na podobné nastavení, ve kterém nejsou na pevném disku žádná nezašifrovaná data, ale zatím jsem přišel pouze na spuštění bootloaderu z vyměnitelného disku.