写入 /root/workspace 不会破坏加密分区内的文件

tag-icon tag-icon files mount disk-encryption
写入 /root/workspace 不会破坏加密分区内的文件

我已按照本指南中的说明在硬盘上进行了全盘加密

https://web.archive.org/web/20180428191153/http://thesimplecomputer.info/full-disk-encryption-with-ubuntu

分区表:GPT
选项:cryptsetup luksFormat --cipher serpent-xts-plain64 --key-size 512 --hash sha512

我有 4 个加密分区:根分区、交换分区、主分区、工作空间和未加密的 BIOS 引导分区。在启动时,当我输入密码时,当我进入操作系统时,所有 4 个分区都会被安装并解锁。所有分区都有相同的密码。

出于好奇,我通过 ubuntu 磁盘应用程序锁定并卸载了分区“工作区”,内容消失了,从 Nautilus 中查看时它变得像一个空分区。之后我在里面写了一个简单的文本文件,里面有一些随机的单词。我通过打开 gedit GUI 来完成此操作,在其中写入一些文本,然后将文件另存为锁定分区内的新文本文件。更准确地说,在我从 ubuntu 中的磁盘中卸载并锁定分区后。我打开 Nautilus 并导航至/root/workspace.它显示它是空的,我右键单击并按创建新文本文件,然后用 Gedit 打开,在里面写了一些东西,保存并关闭。然后回到磁盘,我解锁并安装并写入密码,然后再次导航到 nautilus,/root/workspace我看到我的加密文件全部正常工作。

然后我安装并解锁分区,里面的文件再次出现,所有文件都在工作并且没有损坏。之后,我在加密分区内写入了大约 10 GB 的文件(通过复制粘贴该分区内已存在的几个文件,并使用不同的名称来实现此目的),然后卸载并再次锁定它。令我惊讶的是,文本文件仍然存在,它没有损坏,并且包含未受影响的相同单词。

现在我对这种情况的疑问

  1. 这是否在某种程度上破坏了 FDE,是否创造了一些新的攻击面?由于我的 root、swap 和 home 已安装,并且我在清晰的内部卷工作区中写入,这是否会以某种方式妥协并可能导致其他分区中使用的密码泄露?

  2. 据我所知,红色 Luks 标头位于每个分区的开头,当我在未安装的锁定分区内写入文件时,它如何没有损坏?该文件是否应该覆盖加密文件中的 Luks 标头或部分?相反,所有文件都完好无损,我可以再次安装和解锁。

  3. 问题 2 反之亦然。当我在未锁定和已安装的分区内写入 10GB 文件时,它们不应该覆盖该未加密的文本文件吗?相反,当我锁定并卸载它时,带有字符串的文件完好无损。

  4. 我使用的指南是否正确,还是有一些未提及的事情使我在某种程度上容易受到攻击?

答案1

当您“解锁”加密卷时,这实际上做了两件事:

  1. 该加密卷的内容可作为系统使用块设备。将块设备视为磁盘或分区,可能是虚拟磁盘或分区。
  2. 该虚拟磁盘恰好包含文件系统,文件系统是已安装到目录/root/workspace。 ”安装“ 意思是文件系统在该目录下变得可见

您解锁了加密卷,然后将文件写入/root/workspace.当您编写此文件时,/root/workspace它是根分区上的一个普通目录,它没有安装任何内容。所以你刚刚向根分区写入了一个文件。它不会影响加密卷,因为/root/workspace与加密卷之间没有关系。

当您将加密文件系统安装到时/root/workspace隐藏此目录中的文件。它没有删除该文件,只是使其暂时无法访问。

如果您想覆盖加密卷,则必须直接访问它。您不能直接从 Gedit 执行此操作,因为它只能写入文件系统,而不能直接写入磁盘或分区。您可以使用类似的命令行从命令行访问它echo BREAK IT >/dev/sda99sda99只是一个示例)。您需要以 root 身份运行它,并找到正确的名称来代替sda99.的输出findmnt包含正确的名称。显然你应该非常小心,因为如果你这样做将要破坏您的加密卷,如果您在错误的卷上执行此操作,则可能会导致该卷无法使用。

在配置良好的系统上,您不应该能够写入指定为系统安装点的目录:/root/workspace应该只能由 root 写入,并且您不应该以 root 身份工作。 (请注意/root/workspace,仅当目录上没有安装任何内容时,权限才重要:安装会隐藏目录的内容,包括目录本身。)这样就不会存在意外将某些内容保存在与您所在分区不同的分区上的风险。意图:您将收到“权限被拒绝”错误。要修复 上的分区,您/root/workspace可以使用以下命令/root/workspace不是安装:

sudo chmod 755 /root/workspace; sudo chown root:root /root/workspace

顺便说一句,请注意,/root对于安装点来说,这是一个非常不寻常的地方。/media/workspace对于临时安装的卷来说更为常见,或者/media/workspace或者只是为始终安装的卷/workspace制作它。/home

另外,如果您不知道某个文件是否位于加密卷上,您也可能会感兴趣,可以通过以下方法从命令行辨别。 (Nautilus 中肯定也有一种方法,甚至可能在 Gnome 文件打开对话框中,但我不熟悉它。)

df /path/to/file
findmnt

该命令显示包含—代表“可用磁盘”的df卷上有多少可用磁盘空间。它还显示卷名称及其安装点。根据您的卷组织,这可能足以说明问题。如果不是,请在 的输出中查找该卷,看看它是否是加密卷的子卷。/path/to/filedffindmnt

相关内容