我有一个带有 GRUB 的未加密 /boot 分区和一个加密分区,我的 Linux 就位于其中。想要读取我的加密分区的攻击者可以物理访问我的计算机并修改未加密的 GRUB,这样当我下次启动 Linux 并输入加密密码时,密码会直接上传到互联网或至少未加密地存储到磁盘。
我想到了如何防范此类攻击:在启动计算机之前,我可以从 USB 驱动器启动并检查 GRUB 的完整性。然而,这并不是那么简单,因为 GRUB 会不时发生变化,因此我不能只从 GRUB 分区计算哈希值。
谁能提供其他想法吗?
答案1
您可以将启动文件安装在 USB 驱动器中并用于每次常规启动。这将允许您对整个磁盘进行加密。
加载内核后可以卸载 USB 驱动器。仅在内核更新(驱动器中安装新内核)或引导配置更改期间才需要安装它。或者,您可以在系统中维护一个加密的启动分区,然后手动将其同步到 USB 磁盘。如果 USB 驱动器损坏或丢失,这也可以轻松恢复。
答案2
如果你是主要是对保护文件中存储的数据感兴趣,那么为什么要在计算机上安装操作系统呢?
您可以简单地从具有已知良好映像的 USB 驱动器启动 PC,并在需要时通过在启动后安装加密分区来解密文件。
如果你想保护你的活动在 PC 上,那么强大的网络安全性可能是您需要考虑的额外防御层。如果您在网络上游设备上维护严格管理的出站防火墙策略,那么您的 PC 被感染和打电话回家的机会就会大大减少。
无论哪种方式,定义您真正的安全目标并考虑深度。不要只关注一种安全策略(例如加密),并期望它能够缓解所有潜在的安全问题。