Шифруется ли раздел с загрузчиком GRUB в Ubuntu если указать при установке что вы хотите использовать шифрования диска?

Question

[Rozello]

Сегодня ставил разные дистрибутивы линукса на виртуалку, в частности ubuntu, kubuntu, opensuse leap.
При установке указал что хочу шифровать на диске всё что только возможно.
И обнаружил что во время загрузки ubuntu\kubuntu сначала запрашивается пароль от диска, потом пароль юзера.
А вот в suse сначала запрашивается ключ для расшифровки grub как я понял (пароль был таким же как и пароль от шифрования диска), потом опять пароль уже от диска и только потом пароль юзера.
Вопрос: в чём причина такой разницы в поведении? Это потому что в suse странно организована работа с паролями? Или причина в том что suse шифрует загрузчик, а ubuntu нет?

Answer 1

[rPman]

На сколько мне известно, grub не шифруется, suse как я понимаю, просто ставит на него пароль, его так же можно самому добавить на ubuntu

По уму, при использовании UEFI и SecureBoot к запуску допускается только подписанный grub, а значит можно добавить свои ключи в биос, удалить все остальные и подписать grub своим ключом, в этом случае никто не сможет ничего запустить, сменить биос и прочее... только превратить в кирпич железо.

Самому интересно, каким должен быть защищенный конфиг, например от хостера, я уже не говорю об абсолютной защите, но сделать бы эту задачу по дороже было бы полезно.

Answer 2

[Alexey Dmitriev]

Вот здесь написано как зашифровать и boot
https://cryptsetup-team.pages.debian.net/cryptsetu...

Comments

[rPman]

круто

обидно что при физическом доступе к железу злоумышленник может загрузиться со своего медиа и подменить загрузчик, и единственное что спасти может от этого это самоподписанный, с загрузкой ключей в uefi, много ли железа такое позволяют?

[Fenrir89]

rPman, по идее это встроенный функционал uefi и железо здесь не причём, а ограничение доступа к железу решается совсем не софтом

[rPman]

Да конечно, только личное присутствие, охрана, комп сейф - это немного другой порядок цен, чем софтовые решения

и да я понимаю что при наличии денег можно расковырять практически все что угодно, хотелось бы решения, не идеального, но делающие задачу админу хостинга достаточно сложной, чтобы просто 'случайно' не заглянул

цель - сохранить информацию (приватные ключи, api ключи доступа и т.п. к финансовым сервисам)

[Rozello]

rPman, чисто теоретически можно наверное на уровне UEFI проверить подпись загрузчика и загружать его только если всё ок, а на сам UEFI тоже вкатить пароль.
Если такое возможно в теории, то допускаю что и на практике где-то реализовано.
Но тут загвоздка в том что запустить такой сервер после выключения в случае сбоя будет бедой.
Ну и да, в теории и такая штука хакается, но вопрос в том сколько для этого нужно приложить усилий.
Если вдруг такую найдёте - напишите, я бы и сам таким девайсом обзавёлся)