MaxRokatansky Apr 24 at 07:52

Обеспечение безопасности загрузчика GRUB в Linux

3 min

4.7K

OTUS corporate blogConfiguring Linux*Information Security*

Comments 10

kvazimoda24 Apr 24 at 08:13

Эм... BIOS? MBR? Вы из какого года? Давно уже везде UEFI и GPT.

И в таком варианте гораздо больше безопасности, если вообще выкинуть загрузчик, ядро собрать вместе с initrd в один файл, подписать это всё своим сертификатом, сертификат прописать в UEFI, и туда же прописать запуск нашего ядра. И, конечно, не забыть про пароль на UEFI.

CrazyOpossum Apr 24 at 08:36

Предполагается физический доступ у злоумышленника, но пароль на загрузчик не имеет смысла пока диски нешифрованы, а в биосе не залочена загрузка. Полнодисковое шифрование с загрузчиком решает все проблемы.

MountainGoat Apr 24 at 08:49

Когда была подобная проблема, я просто поставил загрузчик на флешку, которую уносил с собой. Диск шифрованый, пароль на той же флешке, UEFI тогда не было.

CrazyOpossum Apr 24 at 13:21

Тоже норм, но я постоянно флешки продалбываю, мне бы не подошло.

aruslantsev Apr 24 at 15:15

И это все?

А как же очень удобная опция --unrestricted для menuentry, которая позволяет загрузить выбранный пункт, но для изменения параметров загрузки потребует пароль.

Еще в core.img можно интегрировать свой ключ, и тогда grub будет загружать только подписанные вами же ядра и initramfs. Смотрите опцию --pubkey у grub-install.

Или воспользоваться secure boot, прописать свои ключи, да и вообще отказаться от загрузчика. Или подписать grub своим сертификатом, чтобы uefi проверял подпись загрузчика, а загрузчик - подписи ядер и initramfs

wifage Apr 24 at 15:40

Лучше расскажите как 2fa к загрузке прикрутить.

dartraiden Apr 24 at 23:51

Зашифровать диск с паролем, а заголовок LUKS поместить на флешку (detached header), которую носить с собой.

Для расшифровки понадобится флешка (то, что у вас есть) и пароль (то, что вы знаете).

Kil1J0y Apr 24 at 17:56

Все равно не надёжно, 1 что нужно использовать это gpg подпись загрузчика и ядра, да да, через gpg совместимый токен, 2 это luks, а для того что бы пользователи не забывали про токен, прикручиваем к luks ключевой файл из токена. А дальше настраиваем индикацию о валидной подписи загрузчика с ядром, и вот тогда можно смело сказать что у вас в систему внести данные будет сложно. И вот у вас уже альтернатива ноуту librem с токеном.

Я пошёл другим путем т.к. не смог по вменяемой цене найти токен gpg, и просто купил рутокен, собрал mini os под себя разбил токен на два раздела 1 с системой в режиме ro, второй раздел veracrypt , ключевым файлом с токена и паролем, и закинул данные и перевёл в ro для защиты от удаления. Нужно записать временно перевел в rw через rtadmin, ключи для ssh так же на токене, нужно обновить систему загружаешься с токена собираешь модуль с обновлениями, временно переводишь в rw раздел с системой. Выключаешь (пока питание на токене есть он останется в rw). Извлекаешь, и снова с токена грузишься. Или можно купить barium os для токенов. (В бесплатной версии нет необходимых скриптов для установки на токены)

Shaman_RSHU Apr 24 at 21:24

А зачем вообще сейчас нужен GRUB, Lilo... когда одна ОС установлена (например, на сервере)?

ohno1052 Apr 25 at 08:25

гроб нужен только в неизвестных средах, например на подключаемой флешке или для экзотических юзкейсов, например загрузки по сети. С остальным прекрасно справится загрузка линукса напрямую, а бут менеджером может быть сам uefi.