V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
fujrkx
V2EX  ›  Linux

Linux 系统下/boot 分区能加密吗?

  •  
  •   fujrkx · 2020-05-05 13:01:26 +08:00 · 5162 次点击
    这是一个创建于 1687 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我试过把 /boot 分区放在加密卷里,但失败了。

    20 条回复    2020-05-12 12:15:16 +08:00
    chinvo
        1
    chinvo  
       2020-05-05 13:04:12 +08:00 via iPhone
    加密了 grub 怎么引导
    felix021
        2
    felix021  
       2020-05-05 13:04:20 +08:00 via Android
    需要硬件支持(例如 tpm)
    vk42
        3
    vk42  
       2020-05-05 13:11:00 +08:00 via Android
    可以,但是限制比较多,参考 https://wiki.archlinux.org/index.php/GRUB#Encrypted_/boot
    不知道你为啥要这么做,折腾玩么
    chinvo
        4
    chinvo  
       2020-05-05 13:11:04 +08:00 via iPhone
    https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html

    调查了一下还是可以的,就是每次引导的时候输入密码或者提供密钥
    felix021
        5
    felix021  
       2020-05-05 13:24:25 +08:00 via Android
    @chinvo 没有 tpm 支持的话还是有风险,输入的密码可能会被恶意程序记录下来
    chinvo
        6
    chinvo  
       2020-05-05 13:28:54 +08:00
    @felix021 #5

    因为从来没有过这种需求, 所以我一开始凭直觉说了个错误答案, 调查了一下发现确实是可以的

    不过就像你说的, 没有硬件设备 (TPM/RoT), 不能确保可靠性
    chinvo
        7
    chinvo  
       2020-05-05 13:31:16 +08:00   ❤️ 1
    如果要确保引导和系统可信, 可以考虑 RoT 解决方案或者游戏主机的方案

    RoT 就不多介绍了, 游戏主机则是从 boot0 开始定制, 每一层都对下一层做签名检查和加解密

    对应到 PC 上就是相当于开启 Secure Boot 然后只信任自己的根证书
    felix021
        8
    felix021  
       2020-05-05 13:31:53 +08:00 via Android
    @chinvo 我 windows 一直在用,bitlocker 加密所有磁盘分区,但因为台式机没有 tpm,启动分区只能不加密,也是开机输密码
    sampeng
        9
    sampeng  
       2020-05-05 19:17:37 +08:00 via iPhone
    所有没硬件加密的。直接挂硬盘。
    hanguofu
        10
    hanguofu  
       2020-05-06 10:00:13 +08:00 via Android
    顺便问问,linux 对根文件系统加密的常用方案?
    march1993
        11
    march1993  
       2020-05-06 13:33:43 +08:00
    @felix021 bitlocker 不会加密 EFI 分区的吧
    felix021
        12
    felix021  
       2020-05-06 14:22:05 +08:00
    march1993
        13
    march1993  
       2020-05-10 10:06:22 +08:00 via iPhone
    @felix021 没看到有说加密 efi 啊
    felix021
        14
    felix021  
       2020-05-11 11:57:07 +08:00
    @march1993 你找点材料看看吧,想清楚背后的原理就不会这么问了
    march1993
        15
    march1993  
       2020-05-11 11:59:23 +08:00
    @felix021 我自己就在用 BitLocker+TPM 全盘加密,没见得 EFI 分区有被覆盖到,麻烦你给出具体的参考链接
    ungrown
        16
    ungrown  
       2020-05-12 09:59:01 +08:00
    @felix021 #12 巨硬的全盘加密不包含“系统区”(巨硬喜欢把负责引导工作的分区称为“系统分区”,而把操作系统本身所在的分区反而称作“引导分区”)。
    反正他们就这么设计的。
    felix021
        17
    felix021  
       2020-05-12 11:29:58 +08:00
    @march1993 我搜了下,是我想当然了,bitlocker 是用 tpm 来校验 EFI 分区没被改动,所以不需要加密 EFI
    @ungrown 你这个说法和我在磁盘管理器里看到的不一样,引导分区(带“启动”字样)是 sector 0 有 55AA 结尾的那个分区,系统分区是 OS 安装的那个分区。
    ungrown
        18
    ungrown  
       2020-05-12 11:32:20 +08:00
    @ungrown #16
    微软的文档,尤其是关于引导、镜像、恢复等等主题的文档里,把引导分区称为“系统分区”(我估计这里的“系统”指的是“引导系统”),把操作系统分区称为“引导分区”(我估计是指“被引导”)。
    ungrown
        19
    ungrown  
       2020-05-12 12:12:04 +08:00
    @felix021 #17 微软的文档,尤其是关于引导、镜像、恢复等等主题的文档里,把引导分区称为“系统分区”(我估计这里的“系统”指的是“引导系统”),把操作系统分区称为“引导分区”(我估计是指“被引导”)。
    ungrown
        20
    ungrown  
       2020-05-12 12:15:16 +08:00
    @felix021 #17 我用的译文词眼有点不合适,应该是:
    引导分区 -> 系统分区 system partitoin
    操作系统分区 -> 启动分区 boot partition
    这是微软的讲法
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5535 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 08:58 · PVG 16:58 · LAX 00:58 · JFK 03:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.