Verschlüsseln der Bootpartition unter Linux (RHEL)

0

ALLE,

Vor kurzem haben wir den Zertifizierungsprozess durchlaufen und festgestellt, dass ein Angreifer Zugriff auf die Partition / boot haben kann.

Es wurde vorgeschlagen, die gesamte Festplatte einschließlich der / boot-Partition zu verschlüsseln, um dies zu verhindern.

Hier sind die Fragen, die ich habe:

  1. Wie wird das Kennwort für die Startprozedur generiert, um die / boot-Partition zu entschlüsseln? Haben wir als Entwickler / IA-Team die Kontrolle, um es zu generieren?

Der Grund dafür ist, dass wir die Festplatte duplizieren müssen, nachdem wir die Freigabe erstellt und auf der Festplatte abgelegt haben. Es ist auch möglich, dass die Festplatte in eine andere Maschine eingelegt wird.

Wie wird mit dieser Situation umgegangen? Muss das Passwort nach jeder Kopie der Festplatte generiert werden? Wird das Passwort bei jeder Veröffentlichung kopiert und wir erhalten dasselbe Passwort für mehrere Festplatten? Wird das Passwort von der Hardware abhängen, mit der es erstellt wurde, oder wird es auf andere Weise erstellt?

Was sind andere Schuldige, auf die wir achten sollten, um zu sehen, ob es machbar ist oder aufgrund von Zeit / Geld / Prozess nicht?

Vielen Dank für alle Hinweise, die Sie zur Verfügung stellen können. Dies ist das erste Mal, dass wir dieses Testergebnis durchlaufen und dieses stolpert über uns.

linux hard-drive boot partitioning encryption Igor
quelle

Antworten:

0

Problem mit Hühnchen und Eiern ... Etwas muss zuerst von unverschlüsselten Datenträgern gebootet werden, um die Boot-Partition zu entschlüsseln ... Dies ist ein Zweck von UEFI . Das Startprogramm ist signiert und der Computer startet keinen nicht signierten oder beschädigten Start. Eine andere Lösung besteht darin, nur von einem schreibgeschützten Medium zu booten (vorausgesetzt, Sie können dies sicher und erzwungen durchführen).

In Ihrer Frage ist nicht klar, wie Angreifer auf die /bootPartition zugreifen können. Wenn sie es tun, indem sie in ein laufendes System eindringen, wird Sie keine Verschlüsselung retten. Wenn sie dies tun, weil sie physischen Zugriff auf das System haben, stehen ihnen zahlreiche andere Angriffsmethoden zur Verfügung .

Eine ausführlichere Antwort finden Sie unter https://security.stackexchange.com/

Magnet
quelle
Der offizielle Test wurde durchgeführt, indem die Festplatte entfernt, in einen anderen Computer eingesetzt und dann die / boot-Partition mit Lese- / Schreibzugriff bereitgestellt wurde. Dann hat der Tester den SELinux-Schalter entfernt, die Festplatte zurückgesetzt, normal gebootet und "root" -Zugriff auf das System erhalten. Der vorgesehene "Minderungsschritt" lautete - /boot partition needs to be encrypted to prevent the /boot partition access. Ich versuche nur zu folgen, was geschrieben steht. Unsere / Partition ist verschlüsselt, aber nicht die / boot-Partition.
Igor
IMHO, wenn jemand das schaffen kann, ohne dass es jemand merkt, hast du ein sehr ernstes Problem. Mögliche Abhilfemaßnahmen: 1) Sperren / Ausweisleser / K9-Trupp im Serverraum, 2) gegenseitiges Übersehen der Server und Quarantäne aller Server, die länger als ein paar Sekunden verschwinden oder manipuliert aussehen.
Magnet
Stimme voll und ganz zu. Dies geschah jedoch während der Tests und die offizielle Berichterstattung zur Schadensminderung besagte dies can be mitigated by encrypting /boot partition. Daher die Fragen. Dies war auch einer der Tests, die durchgeführt wurden, um Zugriff auf das System zu erhalten root. Die Festplatte wurde abgezogen, auf einen anderen Computer gestellt, / boot wurde gemountet, SELinux ausgeschaltet und dann wurde die Festplatte wieder eingeschaltet, um das Anmelden unter SELinux-Einschränkungen zu ermöglichen.
Igor
Ich verstehe weiter, dass es die Möglichkeit von Passwort-Hack-Angriffen auf die Mount / Boot-Partition geben wird, aber zumindest wird es weitere Tests bestehen.
Igor
Wenn jemand auf die Maschine zugreifen und die Festplatte optimieren kann, kann diese Person sie durch ein völlig anderes Betriebssystem ersetzen ... (oder einen kleinen Server im Serverraum hinzufügen ...). Das Verhindern des physischen Zugriffs ist Ihre erste Verteidigungslinie. Gute Desktop- / Laptop-PCs verfügen auch über einen Schalter, mit dem die Öffnung des Gehäuses erkannt (und im BIOS gespeichert) werden kann.
Xenoid