Michael Vogt schrieb:
Hallo Markus, Markus Schulz schrieb:Am Dienstag, 20. Januar 2009 schrieb Mark Brandis:Dabei lagere ich den Kernel nicht aus. Ich hatte auch darüber nachgedacht und keinen wirklich guten Grund gefunden.Ich hier auch nicht, ebenfalls LUKS.wenn du die _gesamte_ Platte verschlüsseln willst, musst du (zumindest bei luks) den Kernel+initrd ja auslagern...z.B. auf usb/pxe/...Könntest du das genauer erklären? Das einzigste was bei mir ausgelagert ist (auf /boot, unverschlüsselt), ist die initrd. Ich glaube aber eher nicht das der ganze Kernel auf 64MB platz hat, der Rest der Platte ist komplett verschlüsselt. Wieso sollte man den Kernel auch auslagern müssen? Oder habe ich was nicht verstanden (wenn ja bitte ich um Aufklärung).
vom Bootloader (z.B. grub) wird zuerst ja der Kernel geladen der dann die initrd als initiales rootfs benutzt. Ich habe das als PXE realisiert und in die initrd nen dropbear ssh Server gepackt (System ist headless, Schlüssel wird also via ssh-login eingegeben). Wenn man kein pxe will, muss der kernel + initrd auf nem anderen plaintext Medium liegen (zweite Partition/Disk, usb-stick, ...)
Gegen Manipulation an Kernel/Initrd zu schützen ist schon etwas schwieriger, Prüfsummen sind da wohl möglich, auf Komfort muss man dann wohl verzichten (automatisierte Prüfung innerhalb der initrd ist ja manipulierbar). Besser ist es wohl den Kernel/Initrd auf nem separatem Stick ständig mit sich rum zu tragen. Für meine Anwendungszwecke (kein Laptop, sondern headless Server) habe ich mir solche Lösungen dann gespart (Rechner läuft 24h/7).
MfG Markus Schulz