Brueder Feb 11 2023 at 17:13

Artix Linux. Установка с полным/частичным шифрованием

Hard

12 min

15K

Configuring Linux**nix*

Tutorial

From sandbox

Comments 11

fk0 Feb 11 2023 at 17:21

Сразу комментарий: не зашифрованного загрузочного раздела не должно быть. Грузить следует с флешки носимой отдельно. Иначе загрузочный раздел может быть модифицирован и записать куда-то ключи шифрования при следующем доступе. Это касается как и физической безопасности, там и потенциальной работы ПО внутри зашифрованной системы. Бут-раздел не должен иметь возможность подмены ни снаружи, ни изнутри. Конечно, технология доверенной загрузки (TPM) призвана эту проблему решать, но её считай нет. Поэтому носитель с boot-разделом проще иметь внешним.

Brueder Feb 11 2023 at 23:15

Полностью согласен. Я написал в статье о возможности эксплоита в незашифрованный загрузочный раздел. Такое решение, скорее, спасает от людей не имеющих знания в этой области, но получивших доступ, например, к твоему ноутбуку. Познания TMP и SecureBoot у меня нет, если заинтересуюсь, напишу продолжение этой статьи с использованием этих технологий.

fk0 Feb 11 2023 at 17:24

И LVM в этом всём не очень нужен. Он нужен когда 50 разделов и файловая система ресайзится умеет. А не когда /boot и /root. Если всё свалить на одну файловую систему lvm вообще не очень актуален.

larrabee Feb 11 2023 at 18:54

Сейчас 2023, некоторые ноуты/материнки уже и не умеют грузится в легаси режиме.

Так что лучший сейчас подход - незашифрованный /boot, но подписанный инитрамфс + ядро Secure Boot + хранение части ключа в TPM. Ядро с инитрамфс пакуется в единое efi приложение и подписывается.

Это сделает невозможным скрытую модификацию бут раздела и сброс настроек UEFI для отключения secure boot.

fk0 Feb 12 2023 at 12:19

Вот это "пакуется и подсписывается" -- это невозможно же без разрешения третьей большой фирмы сделать? Ключи которой прошили в биос.

larrabee Feb 12 2023 at 12:26

Конечно можно)

В любой UEFI за редким исключением, типа surface можно добавить свои ключи и Secure Boot прекрасно работает

ohno1052 Feb 11 2023 at 20:59

хороший ман, только уже сейчас идёт выпил поддержки mbr и legacy boot из систем, поэтому лучше делать через uefi gpt. и в реальном использовании отсутствие systemd приводит к многим проблемам с разным софтом и дополнительному времени на подстройку кусков системы, например pipewire не очень дружит с другими инитами.

Brueder Feb 11 2023 at 23:06

Насчет отсутствия mbr и legacy boot в некоторых системах, согласен. В данном случае мне стоило добавить, что в целях безопасности некоторые люди используют coreboot.
Насчет отсутствия systemd. Если ты сознательно не используешь systemd, то ты готов решать проблемы несовместимости. Во многом это имхо о "не безопасной системе инициализации".

alef13 Feb 12 2023 at 18:30

сразу напишу что плюс поставил :)
а теперь критика - материал выглядит как "заклинание", лог каких-либо действий с неочевидными связями, шпаргалка чисто для себя. Если возьмусь повторять, то не факт что всё сработает, и мне не придётся погружаться самостоятельно в первоисточники. Желательно было немного коротЕнько/обзорно расписать принципы и взаимосвязи всего этого безобразия, а дальше уже по разделам "приземлять". И тогда эта инструкция для Artix Linux может перерасти в нечто большее.

Brueder Feb 12 2023 at 19:10

Пост писался как поэтапная инструкция. У меня до сих пор есть 3 виртуальные машины созданные по этому гайду для проверки. Так что на сегодняшний момент все должно заработать. В первоисточниках ещё больше проблем (устаревшей, лишней информации).
Будьте добры, подробнее напишите что Вы имели ввиду под: "обзорно расписать принципы и взаимосвязи всего этого безобразия", желательно в личные сообщения, чтобы я мог понять свои неточности.

Mitai Apr 13 2023 at 21:25

Дружище а можешь осветить настройку гибернации в системах без DE?