ビリャチピスデツナフイ Войти !bnw Сегодня Клубы
Посоны, потерял ссылку про full disk encryption в Debian (с GRUB2). По-настоящему full, то есть /boot тоже шифруется. Помогите отыскать, а? Я не могу нагуглить что-то.
#401FI9 / @minoru / 3738 дней назад

Зачем шифровать /boot?
#401FI9/W1H / @l29ah / 3738 дней назад
@l29ah Чтобы злые дяди не добавили в мой initramfs модуль, сливающий пароль к моему LUKS-разделу, например.
#401FI9/FOL / @minoru --> #401FI9/W1H / 3738 дней назад
@minoru Не парься, они просто добавят в твой граб гипервизор.
#401FI9/T8Y / @l29ah --> #401FI9/FOL / 3738 дней назад
@l29ah Э-э-э, что? Поясни, пожалуйста.
#401FI9/91G / @minoru --> #401FI9/T8Y / 3738 дней назад
@minoru Берётся твой граб, в него добавляется, например, правильный инитрамфс, который потом зовёт твой инитрамфс.
#401FI9/TG8 / @l29ah --> #401FI9/91G / 3738 дней назад
@l29ah Стоп-стоп-стоп. Как они могут взять мой граб, если он на зашифрованном разделе? Или ты про тот кусочек граба, что в MBR? Или ты предполагаешь, что злые дяди могут присылать мне апдейты, дёргающие update-initramfs?
#401FI9/SZW / @minoru --> #401FI9/TG8 / 3738 дней назад
@minoru Да, я про него. Опять же, у тебя в биосе может быть гипервизор.
#401FI9/ACX / @l29ah --> #401FI9/SZW / 3738 дней назад
@l29ah М, ну те пара килобайт, что в MBR — это гораздо более маленькая attack surface, чем целый /boot. BIOS — это уже другой уровень. Шифрование /boot — это всего лишь ещё один маленький шаг в сторону более защищенной системы.
#401FI9/7R7 / @minoru --> #401FI9/ACX / 3738 дней назад
@minoru Чо за другой уровень? Если чувак может добраться до твоего /boot, то он и биос переписать может.
#401FI9/LFS / @l29ah --> #401FI9/7R7 / 3738 дней назад
@l29ah Чтобы переписать мой /boot, много ума не нужно: делаем chroot с debian, компилим там нужный им модуль, потом тупо грузимся на моей машине с livecd и копируем модуль в /boot. А вот BIOS переписать уже не каждая домохозяйка может. Потому-то и другой уровень.
#401FI9/70G / @minoru --> #401FI9/LFS / 3738 дней назад
@minoru Забавная у тебя домохозяйка, избирательная. Мои знакомые вендобляди ничего не знают про /boot, но биосы себе обновляли, а некоторые даже ковырялись в них для модных лого и выпиливания вендорлока. Алсо, в биосе троян может быть искаропки. Так что лучше бы ты себе coreboot поставил.
#401FI9/NBE / @l29ah --> #401FI9/70G / 3738 дней назад
> загружаться не с флешки
#401FI9/KKD / @komar / 3738 дней назад
@l29ah Ковырялись? Да ладно! Но ок, я теперь подумаю и про coreboot тоже. Спасибо!
#401FI9/INF / @minoru --> #401FI9/NBE / 3738 дней назад
@komar Такое себе решение: можно потерять, не слишком сложно подменить (живу в общаге прост).
#401FI9/1NH / @minoru --> #401FI9/KKD / 3738 дней назад
@minoru > шифруется от соседей в общаге Блядь, как вы заебали со своими задротопроблемами.
#401FI9/4D1 / @komar --> #401FI9/1NH / 3738 дней назад
@komar Блядь, блядь комар блять блядь сука. А теперь по-русски: да, шифруюсь, почему бы и нет? Тут есть люди, которым хватит мозгов и прямоты рук в качестве пранка поломать мне систему, я считаю.
#401FI9/U4T / @minoru --> #401FI9/4D1 / 3738 дней назад
@minoru убивать пробовал?
#401FI9/6H3 / @hirthwork --> #401FI9/U4T / 3738 дней назад
@minoru Можно флешку в анус запихнуть. Или rfid-сертификатор в хуй вживить.
#401FI9/ABV / @l29ah --> #401FI9/1NH / 3738 дней назад
@minoru В качестве пранка они тебе в рот насрут и вложат на ютьюби, а у тебя какая-то ебаная шизофрения.
#401FI9/0TA / @komar --> #401FI9/U4T / 3738 дней назад
@hirthwork Чо, на зоне жить лучше, чем в общаге? Srsly, зачем убивать? Прецедентов не было же, а казнить наперёд как-то, гм, ебануто совсем.
#401FI9/PW6 / @minoru --> #401FI9/6H3 / 3738 дней назад
@l29ah Не хотеть.
#401FI9/63S / @minoru --> #401FI9/ABV / 3738 дней назад
@minoru Попробуй, ещё захочешь!
#401FI9/LNA / @l29ah --> #401FI9/63S / 3738 дней назад
@l29ah Не скатывай мне тред!
#401FI9/OVE / @minoru --> #401FI9/LNA / 3738 дней назад
@minoru Всяко лучше, чем параноиться почем зря.
#401FI9/4CA / @komar --> #401FI9/PW6 / 3738 дней назад
@komar ет
#401FI9/YEJ / @vostrik --> #401FI9/0TA / 3738 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.