দুষ্ট কাজের মেয়েটির বিরুদ্ধে রক্ষা করা, কীভাবে / বুট পার্টিশন অপসারণ পরিচালনা করতে হয়

LUKS ফুল ডিস্ক এনক্রিপশন ব্যবহার করার সময়, আপনি কীভাবে খারাপ কাজের মেয়েদের বিরুদ্ধে রক্ষা করবেন ?

খারাপ কাজের মেয়েটির আক্রমণটি তখনই হয় যখন আপনি দূরে থাকাকালীন কেউ আপনার কম্পিউটারে শারীরিক অ্যাক্সেস পায় এবং পরের বার আপনি যখন কম্পিউটারটি শুরু করেন তখন আপনার এফডিই পাসওয়ার্ড ক্যাপচার করতে এনক্রিপ্ট করা / বুট পার্টিশনের সাথে আপোস করে

সমাধানগুলির মধ্যে একটি হ'ল আপনার / বুট পার্টিশনটি সর্বদা আপনার সাথে থাকা একটি ইউএসবি স্টিকের উপর ছেড়ে দেওয়া (দাসীটি এটি পেতে পারে না) তবে এতে কোন ফাইল সিস্টেম ব্যবহার করা উচিত এবং আমি কীভাবে আমার সিস্টেমটি মুছে ফেলার জন্য পরিচালনা করতে পারি? ইউএসবি স্টিকের (এবং এইভাবে / বুট বিভাজন নিজেই)?

আমি সেন্টস ব্যবহার করছি তবে জেনেরিক, ডিসট্রো-অজোনস্টিক উত্তর অবশ্যই স্বাগত। ধন্যবাদ।

অবশেষে এটি সন্ধান। এটি এখনও সত্যিই হ্যাকি এবং নোংরা বোধ করে কারণ সিস্টেমটি কখনই এটি অবগত নয়/boot নয় যা মাউন্ট করা যায় না এবং আপনাকে এটি লিখতে পারে এমন কিছু করার আগে ম্যানুয়ালি এটিকে মাউন্ট করতে হবে (সিস্টেম আপডেটগুলি, ইত্যাদি ভাবেন), তবে এটি পুরোপুরি কার্যকরভাবে কাজ করে other ।

• আপনার ফ্ল্যাশ ড্রাইভটি বুট ফ্ল্যাগ সেট করে একটি একক পার্টিশন দিয়ে প্রস্তুত করুন। shred -n 1 -v /dev/sdXপূর্ববর্তী কোনও বুট সেক্টর সহ এটি সম্পূর্ণ মুছে ফেলার জন্য আপনি এটি চালাতে পারেন ; একবার চালানো শেষfdisk পার্টিশন তৈরি করার জন্য হয়ে এবং mkfsএটিতে আপনার পছন্দ মতো ফাইল সিস্টেম m
• আপনার ফ্ল্যাশ ড্রাইভটি কোথাও /mnt/bootবা এমনকি মাউন্ট করুন/newboot ঠিকঠাক করবে।
• থেকে সবকিছু উপর সরান /boot সাথে ফ্ল্যাশ ড্রাইভে যান mv /boot/* /newboot।
• আপনার সম্পাদনা করুন /etc/fstabএবং আপনার ফ্ল্যাশ ড্রাইভের সাথে মেলে একটি আসল বুট পার্টিশনের ইউআইডি পরিবর্তন করুন (বা যদি নেই তবে একটি এন্ট্রি তৈরি করুন)। আপনি ইউআইডি দিয়ে পেতে পারেনlsblk -o name,uuid । এছাড়াও noautoবিকল্পটি যুক্ত করুন যাতে ড্রাইভটি স্বয়ংক্রিয়ভাবে মাউন্ট হবে না যাতে সিস্টেমটি বুট করা শুরু হওয়ার সাথে সাথেই এটি অপসারণ করতে সক্ষম হবে (একবার কার্নেল লোড হয়ে গেলে) এতে FS- র ঝুঁকি না নিয়ে।
• মূল বুট পার্টিশন এবং ফ্ল্যাশ ড্রাইভ ( umount /boot && umount /newboot) আনমাউন্ট করুন এবং ফ্ল্যাশ ড্রাইভ মাউন্ট করুন; যদি আপনার fstab এন্ট্রি সঠিক হয় আপনি কেবল চালাতে পারেনmount /boot এবং এটি স্বয়ংক্রিয়ভাবে এটিকে fstab এ উল্লিখিত ইউআইডির ভিত্তিতে মাউন্ট করবে।
• নতুন পার্টিশনের ইউআইডি এবং "শারীরিক" অবস্থান প্রতিবিম্বিত করতে আপনার বুটলোডারের কনফিগারেশনটি পুনরায় জেনারেট করুন GRUB এর জন্য ফ্ল্যাশ ড্রাইভটি কম্পিউটারে প্রথম হার্ড ড্রাইভ হিসাবে উপস্থিত হবে ( hd0)। আপনি যদি বেশিরভাগ ডিগ্রো সরবরাহকারী ডিফল্ট GRUB কনফিগারেশন স্ক্রিপ্ট ব্যবহার করে ঠিক থাকেন তবে আপনি চালাতে পারেন grub-mkconfig -o /path/to/grub.cfgএবং এটি বর্তমানে মাউন্ট করা পার্টিশন এবং / অথবা fstab অনুযায়ী ফাইলটি তৈরি করতে পারে। মনে রাখবেন যে CentOS 7-র জন্য সঠিকটি grub.cfgআসলে অবস্থিত /boot/grub2/grub.cfg।

বুট পার্টিশন অ্যাক্সেস করতে পারে এমন কোনও অপারেশন করার সময়, আপনার ইউএসবি স্টিকটি সংযুক্ত করুন এবং রান করুন mount /boot। একবার হয়ে গেলে আপনি দৌড়াতে পারেন umount /boot। নোট করুন যে পরবর্তী কমান্ডটি পুরো মুহুর্তে সময় নিতে পারে কারণ এটি ডিস্কে বাফারগুলি ফ্লাশ করছে (ডিস্কটি ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে কার্নেল কিছু লেখার জন্য কিছু দ্রুত করে তোলে) buff

এই নির্দিষ্ট ইস্যুটির আর একটি পদ্ধতির টিপিএম ব্যবহার করে কোনও এনক্রিপশন কী সঞ্চয় করা হয়, তবে প্রতিরক্ষা এটি কার্যকর করার জন্য ব্যবহারকারীর উপর নির্ভর করে। একটি প্রাথমিক, আরএইচইএল 7-ভিত্তিক সমাধান টিএমপি-লুক্স ( https://github.com/GeisingerBTI/tpm-luks )।

এটি যেভাবে কাজ করে তা বুটে রয়েছে, বুট প্রক্রিয়াটির প্রতিটি ধাপ পরবর্তী ব্যবস্থা করে এবং এই পরিমাপটি টিপিএমের পিসিআরগুলিতে সঞ্চয় করে। বুট প্রক্রিয়াটি শেষ হয়ে গেলে, tpm-luks "পরিচিত ভাল" কনফিগারেশনের বিপরীতে পিসিআরগুলির স্থিতি পরীক্ষা করে। যদি "জ্ঞাত ভাল" কনফিগারেশনে থাকে, টিপিএম LUKS কীটি আনবে এবং টিএমপিএম-লুক্স এই ডেটাটি রুট এলইউকেএস পার্টিশনটিকে আনলক করতে পাস করবে।

যেহেতু গুরুত্বপূর্ণ সমস্ত কিছুই ক্রপিটোগ্রাফিক হ্যাশ দিয়ে মাপানো হয়, তবে কোনও খারাপ কাজের মেয়েটির জন্য আপনার GRUB / কার্নেল / র‌্যামডিস্ক প্রতিস্থাপনের জন্য কোনও উপায় নেই আপনার FDE পাসফ্রেজকে খারাপভাবে সংগ্রহ করতে। যুক্ত বোনাস হিসাবে আপনার কোনও এফডিই পাসফ্রেজ লাগবে না! আপনি তাত্ত্বিকভাবে মানব-পঠনযোগ্য পাসফ্রেজ সম্পূর্ণরূপে মুছে ফেলতে এবং টিএমপিউস-লুক্সের উপর সম্পূর্ণভাবে নির্ভর করতে পারেন তবে আপনি যদি সেই পথে চলে যান তবে আপনার LUKS শিরোনামটি সঞ্চয় করে রাখা এবং এটি ব্যাকআপ হিসাবে রাখা সম্ভবত ভাল ধারণা।

আমি যেমন উল্লেখ করেছি, এর জন্য ব্যবহারকারীর উপর কিছুটা পরিশ্রম দরকার। আপনি যদি কম্পিউটারকে অবরুদ্ধ রেখে দিয়ে থাকেন এবং আপনাকে একটি পাসফ্রেজ প্রম্পট উপস্থাপন করা হয় তবে আপনি কিছু তদন্ত না করা অবধি এটি টাইপ করা কোনও খারাপ ধারণা। এই মুহুর্তে, আপনার লাইভ সিডি পরিবেশে বুট করা উচিত এবং টিপিএম-লুক্সে কোনও ত্রুটি রয়েছে কি না, বা /bootপার্টিশনটি সত্যিকারভাবে পরিবর্তিত হয়েছে কিনা তা একবার দেখে নেওয়া উচিত । আপনি এখনও /bootপার্টিশনটি এনক্রিপ্ট না করে রেখে চলেছেন, তবে গুরুত্বপূর্ণ কিছু পরিবর্তিত হয়ে গেলে মূল ডিস্কটি কখনই ডিক্রিপ্ট হয় না।