为了检测针对 LUKS 加密 Linux 的“邪恶女仆”攻击,除了 MBR 之外,还必须对 /boot 分区中的哪些文件进行散列?

为了检测针对 LUKS 加密 Linux 的“邪恶女仆”攻击,除了 MBR 之外,还必须对 /boot 分区中的哪些文件进行散列?

boot.img、initrd 和 vmlinuz 是否足够,还是应该将所有内容都散列?我对 Linux 启动过程不够熟悉,因此无法自信地回答这个问题。

答案1

最安全的做法是对 /boot 上的所有文件(内核、系统映射、MBR 和引导加载程序配置)进行哈希处理 - 但谁能保证邪恶女仆不会简单地替换哈希值呢?所以现在您需要实施 GPG,以便可以对哈希文件进行签名和验证。但如果邪恶女仆破坏了 GPG 怎么办?啊……

所以,我建议,如果你真的担心那个邪恶的女仆,一个更好的解决方案是将 /boot 放在腰带上的可移动钥匙链式 USB 设备上。毕竟它只需要启动。我在弹性系绳上使用了一个漂亮的 USB 设备。

相关内容