Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
__________
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 21/06/17 a les 15:26, Alex Muntada ha escrit:
> Narcis Garcia:
>
>> No aporta gaire avantatge que sigui el GRUB o que sigui initram
>> el desbloquejador de l'encriptat, comparats amb si l'arrencada
>> és de disc dur o externa (USB).
>
> No hi estic d'acord. Això evita que el contingut de /boot es pugui
> modificar sense que el sistema operatiu hagi arrencat. Si tens el
> /boot en un disc extern, sense xifrar, no tens cap garantia que
> no hagi estat modificat.
>
> La diferència rau en què modificar un ramdisk i afegir un script
> que capturi la contrasenya és trivial i en canvi substituir el
> grub per un de diferent que faci el mateix no ho és gens. D'aquí
> que no estigui d'acord amb la teva afirmació.
>
> Ara bé, si vols tenir el /boot en un disc extern i també xifrat,
> aleshores d'acord.
>
>> Al cap i a la fi parlem de programari que ha de ser fora de
>> l'encriptat per tal que la BIOS o EFI l'executi.
>
> En aquest cas, potser també et pot interessar signar digitalment
> el GRUB perquè l'EFI verifiqui la signatura en l'arrencada.
>
> Salut,
> Alex
>
Posats a distingir la dificultat entre manipular el /boot i el GRUB, (o
la confiança que es dispositi en EFI), hi ha una manera molt més segura:
L'arrencada externa en un CD-R. De ben segur que ningú no te la
modifica, i a partir de CD (que desbloquegi LUKS) saltes a l'inici
normal de l'ordinador.
És una llàstima que el mercat estigui arraconant la possibilitat de
gravar mitjans de només lectura.
Reply to: