Re: Debian 9 /boot && /boot/efi partitie

To: debian-user-dutch@lists.debian.org
Subject: Re: Debian 9 /boot && /boot/efi partitie
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Thu, 10 Jan 2019 20:38:13 +0100
Message-id: <[🔎] 5846b06d-f1ea-e664-024d-05396496405f@vandervlis.nl>
In-reply-to: <[🔎] CAHKyG6xA0cuOahmnu=PtFGddRZc9Z75HaZMc99vfa-5X5qRFkg@mail.gmail.com>
References: <[🔎] CAHKyG6xA0cuOahmnu=PtFGddRZc9Z75HaZMc99vfa-5X5qRFkg@mail.gmail.com>

Op 10-01-19 om 20:17 schreef Pieter Lems:
> Geachte Debian gebruikers,
> Ik ben recent overgestapt van QubesOS naar debian i.v.m het moeilijk te
> kunnen gebruiken van Qubes in combinatie met mijn school. Tijdens de
> instalatie heb ik de keuze gemaakt om mijn paritieschema als volgt te doen:
> nvme0n1                 259:0    0   477G  0 disk 
> ├─nvme0n1p1             259:1    0   512M  0 part  /boot/efi
> ├─nvme0n1p2             259:2    0   244M  0 part  /boot
> └─nvme0n1p3             259:3    0 476.2G  0 part 
>   └─nvme0n1p3_crypt     254:0    0 476.2G  0 crypt
>     ├─laptop--vg-root   254:1    0  23.3G  0 lvm   /
>     ├─laptop--vg-var    254:2    0   9.3G  0 lvm   /var
>     ├─laptop--vg-swap_1 254:3    0  15.8G  0 lvm   [SWAP]
>     ├─laptop--vg-tmp    254:4    0   1.9G  0 lvm   /tmp
>     └─laptop--vg-home   254:5    0   426G  0 lvm   /home
> 
> Zoals jullie kunnen zien heb ik een /boot/efi en een /boot partitie. Ik
> vroeg mijzelf het volgende af:
> 
> Wat is de rede dat dit automatisch is geconfigureerd?

Omdat er gebruik wordt gemaakt van UEFI is die /boot/efi nodig. Als je
UEFI uit zou zetten in het bios, dan krijg je dat niet.

Omdat het hele filessysteem encrypted wordt, moet grub toch ergens staan
waar het niet encrypted is. Vandaar /boot apart en niet encrypted.

Omdat er gebruik wordt gemaakt van encryptie wordt er default LVM
aangemaakt. Voordeel is dat je maar 1x een paswoord hoeft in te tikken
voor alle partities.

> Heeft dit negatieve invloed op de beveiliging omtrent de /boot partitie?

De boot-partitie is niet beveiligt met encryptie.

> Hoe kan ik dit tegen gaan?

Wil je /boot encrypted, dan kan dat alleen als je gebruik maakt van een
open source bios zoals coreboot. Dan is grub echter ook niet encrypted,
staat het alleen in je bios. Of dit nou veel veiliger is weet ik niet.
Het is wel onflexibel, en een probleem als de hardware kapot gaat.

> En als de vorige vraag uberhaupt mogelijk is, Is het in verband met
> veiligheid handiger om dit wel of niet te doen?

In theorie zou iemand /boot zo kunnen wijzigen dat het je paswoord
ergens neerschrijft. En dit dan later gebruiken.

Wat wellicht een optie is, is om een checksum van /boot te maken en een
waarschuwing te geven wanneer het gewijzigd is.

Wat ik vooral een nadeel van LVM vind in zo'n situatie, is dat het toch
wel enigsinds complex is. Echter, met de rescue optie van de installer
kun je de encrypted partities benaderen, repareren, etc.

Groet,
Paul



-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

Reply to:

References:
- Debian 9 /boot && /boot/efi partitie
  - From: Pieter Lems <lems.pieter97@gmail.com>

Prev by Date: Debian 9 /boot && /boot/efi partitie
Next by Date: Npostart werkt niet meer
Previous by thread: Debian 9 /boot && /boot/efi partitie
Next by thread: Npostart werkt niet meer
Index(es):
- Date
- Thread