On 23.10.2015 06:48 Dani Dagio wrote:
[...]
ich hab nun mal eine geführte Debian Partionierung mit
Verschlüsselung durchgeführt. Allerdings scheint boot wieder
unverschlüsselt zu sein. Gibt es außer der Lösung von Ulf mit der
Boot Partition auf dem USB Stick noch eine Möglichkeit?
[...]
Das System (der Kernel) muss von einem unverschlüsselten Datenträger
gebootet werden. Das kann meines Wissens natürlich auch eine (selbst
gebrannte) Scheibe sein. Das wäre dann ein Read-Only Datenträger, der
zwar von Eindringlingen ausgetauscht, aber selbst nicht manipuliert
werden kann. Vielleicht kann man auch ein billig Lese-Laufwerk im
Inneren des Gehäuses drin unterbringen, ohne direkten Zugang von
außen. (erschwert Updates) Ich denke, man könnte natürlich sowohl auf
dem Boot-Datenträger bzw. Partition, als auch in der verschlüsselten
Partition je ein Skript unterbringen, das nach jedem Boot-Vorgang die
Boot-Partition oder den Datenträger (z.B. per Checksum) auf
Manipulationen untersucht und vielleicht sogar die Boot-Partition nach
einer ungewollten Veränderung restauriert und dann gleich neu bootet,
so dass die Schadsoftware gar keine Chance hat, länger (und da liegt
die Crux) einzuwirken. Die eventuell in die Boot Partition oder mit
dem manipulierten Boot-Datenträger eingebrachte Malware kann halt auf
den verschlüsselten Datenträger zugreifen sobald dieser entschlüsselt
worden ist.