How To Migrate to a full encrypted LVM system

Giorgos D. Pallas gpall at ccf.auth.gr
Wed Apr 23 16:55:33 EEST 2008


Nick Demou wrote:
> 2008/4/23 Γιώργος Πάλλας <gpall at ccf.auth.gr>:
>   
>> Nick Demou wrote:
>>  > *μήπως* με μια ακόμα (μάλλον κάθε άλλο παρά trivial) τροποποίηση
>>  > μπορεί επίσης να φροντίσει τo   /boot/initrd.img.XYZ να εμφανίζεται ως
>>  > αναλλοίωτο? (δεν είμαι expert απλά μου φαίνεται πιθανώς εφικτό μιας
>>  > και το initrd τρέχει πρώτο και έχει πλήρη έλεγχο του συστήματος)
>>  >
>>
>>  Στην ιδανική περίπτωση, το /boot είναι στο usb stick και μπουτάρεις τον
>>  υπολογιστή πάντα με αυτό. Αλλά μια και εικάζω ότι χωρίς τρελή χακιά δεν
>>  μπορεί το initrd όσο πειραγμένο και να είναι να σε ξεγελάσει, το σύστημα
>>  έτσι είναι αρκετά ασφαλές και για τους πλέον παρανοϊκούς... Τώρα βέβαια,
>>  ας πει κανένας που ξέρει τα πράματα πιο βαθιά, πως θα μπορούσε ένα
>>  πειραγμένο initrd να κάνει τελικά το custom script να πει ότι βρίσκει
>>  σωστά checksums ενώ δεν είναι...
>>     
>
> ΟΚ η προηγούμενη τοποθέτηση μου ήταν περισότερο διαισθητική (πάνω
> κάτω: "αφού το initrd φορτώνει πρώτο μπορεί λογικά να ξεγελάσει ότι κι
> αν φορτώνεται μετά"). Αφότου αφιέρωσα 10 λεπτά συνεχίζω να έχω
> ΑΜΦΙΒΟΛΙΕΣ (δηλ. δεν είμαι σίγουρος) για την ασφάλεια της
> προτεινόμενης λύσης
>
> Πρώτα ένα refresher[1]:
> <<<
> The initrd function allows you to create a small Linux kernel with
> drivers compiled as loadable modules. These loadable modules give the
> kernel the means to access disks and the file systems on those disks
>   
>
> Συνεπώς παρόλο που δεν ξέρω τα πράγματα πολύ βαθιά απ' όσα θυμόμουν
> και παρέθεσα, μέσα στο initrd είναι:
>     α) ο driver για το hard disk access (π.χ. scsi driver)
>     β) ο driver για το filesystem σου (π.χ. ext3)
>
> Συνεπώς εφόσον είσαι hacker που ασχολείσε με το συγκεκριμένο πεδίο
> τότε ΥΠΟΘΕΤΩ ΜΕ ΣΧΕΤΙΚΗ ΑΣΦΑΛΕΙΑ πως μπορείς άνετα να πειράξεις τον
> driver του filesystem που περιέχει το initrd.img ώστε κάθε κλήση για
> ανάγνωση του /boot/initrd.img να αντικαθίσταται με μία κλήση για
> ανάγνωση του /boot/this-is-what-you-want-this-is-what-you-get.img (και
> κάθε κλήση listing του /boot να κρύβει το this-is....)
>
> δεν πρέπει να είναι και rocket science (τα διάφορα root kits κάνουν
> παρόμοια κολπάκια)
>
> ________________
> [1] http://www.ibm.com/developerworks/library/l-linuxboot/index.html:
>
>   

Χμμμμ, έτσι που το έθεσες, ακούγεται πιο εύκολο από ό,τι φανταζόμουν... 
Tουλάχιστον δεν μπορεί να το κάνει η μικρή σου αδερφή που θέλει να 
διαβάσει το ημερολόγιό σου...

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 6405 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20080423/5a067a5e/attachment.bin>


More information about the Linux-greek-users mailing list