How To Migrate to a full encrypted LVM system

Nick Demou ndemou at gmail.com
Wed Apr 23 15:47:05 EEST 2008


2008/4/23 Γιώργος Πάλλας <gpall at ccf.auth.gr>:
>
> Nick Demou wrote:
>  > *μήπως* με μια ακόμα (μάλλον κάθε άλλο παρά trivial) τροποποίηση
>  > μπορεί επίσης να φροντίσει τo   /boot/initrd.img.XYZ να εμφανίζεται ως
>  > αναλλοίωτο? (δεν είμαι expert απλά μου φαίνεται πιθανώς εφικτό μιας
>  > και το initrd τρέχει πρώτο και έχει πλήρη έλεγχο του συστήματος)
>  >
>
>  Στην ιδανική περίπτωση, το /boot είναι στο usb stick και μπουτάρεις τον
>  υπολογιστή πάντα με αυτό. Αλλά μια και εικάζω ότι χωρίς τρελή χακιά δεν
>  μπορεί το initrd όσο πειραγμένο και να είναι να σε ξεγελάσει, το σύστημα
>  έτσι είναι αρκετά ασφαλές και για τους πλέον παρανοϊκούς... Τώρα βέβαια,
>  ας πει κανένας που ξέρει τα πράματα πιο βαθιά, πως θα μπορούσε ένα
>  πειραγμένο initrd να κάνει τελικά το custom script να πει ότι βρίσκει
>  σωστά checksums ενώ δεν είναι...

ΟΚ η προηγούμενη τοποθέτηση μου ήταν περισότερο διαισθητική (πάνω
κάτω: "αφού το initrd φορτώνει πρώτο μπορεί λογικά να ξεγελάσει ότι κι
αν φορτώνεται μετά"). Αφότου αφιέρωσα 10 λεπτά συνεχίζω να έχω
ΑΜΦΙΒΟΛΙΕΣ (δηλ. δεν είμαι σίγουρος) για την ασφάλεια της
προτεινόμενης λύσης

Πρώτα ένα refresher[1]:
<<<
The initrd function allows you to create a small Linux kernel with
drivers compiled as loadable modules. These loadable modules give the
kernel the means to access disks and the file systems on those disks
>>>

Συνεπώς παρόλο που δεν ξέρω τα πράγματα πολύ βαθιά απ' όσα θυμόμουν
και παρέθεσα, μέσα στο initrd είναι:
    α) ο driver για το hard disk access (π.χ. scsi driver)
    β) ο driver για το filesystem σου (π.χ. ext3)

Συνεπώς εφόσον είσαι hacker που ασχολείσε με το συγκεκριμένο πεδίο
τότε ΥΠΟΘΕΤΩ ΜΕ ΣΧΕΤΙΚΗ ΑΣΦΑΛΕΙΑ πως μπορείς άνετα να πειράξεις τον
driver του filesystem που περιέχει το initrd.img ώστε κάθε κλήση για
ανάγνωση του /boot/initrd.img να αντικαθίσταται με μία κλήση για
ανάγνωση του /boot/this-is-what-you-want-this-is-what-you-get.img (και
κάθε κλήση listing του /boot να κρύβει το this-is....)

δεν πρέπει να είναι και rocket science (τα διάφορα root kits κάνουν
παρόμοια κολπάκια)

________________
[1] http://www.ibm.com/developerworks/library/l-linuxboot/index.html:


More information about the Linux-greek-users mailing list