安装带有 LUKS 全盘加密的 Debian 时是否可以跳过安全删除步骤?

安装带有 LUKS 全盘加密的 Debian 时是否可以跳过安全删除步骤?

我正在使用 LUKS 全盘加密将 Debian 安装到全新的 500GB 硬盘上。目前,通过安全删除驱动器来准备安装驱动器大约需要 24 小时。由于这是一个从未使用过的全新驱动器,是否可以配置安装过程以跳过安全删除步骤,从而减少安装时间?

我正在使用预置文件来驱动安装,所以如果存在这样的配置,那么知道具体的预置选项是什么就很好了。

答案1

可能 - 当然,这会降低它的安全性,虽然并不为公众广泛所知,但通常会有记录器和/或初始 mbr 的痕迹,并且这些痕迹位于全新的驱动器中,而默认格式化不会擦除这些痕迹(这更像是蚀刻素描而不是正确的格式,因为它只是擦除了“日志”,而不是擦除较低级别的签名和 inode 重定向...如果这仅仅是为了 luks 体验,而不是真正为了保护高度敏感的材料,跳过它是可以的...只要记住,对于任何正确/安全的安装,跳过它会带来漏洞,而一个相当熟练的调查员/攻击者可以更轻松地利用这些漏洞。同时请注意,因为它是一个新的驱动器...充分利用驱动器 - 默认格式使用的开销比大多数安装(尤其是 luks 安装)需要的开销要大,以使它们普遍可用。

编辑:更新流程:

  1. 不要擦除驱动器,使用 luksDevice Format 时的默认格式

  2. 继续安装

  3. 有一个无疑更脆弱但可用的 Luks'd 安装。

答案2

由于您正在使用预置文件,请看一下这个:

https://www.linuxjournal.com/content/preseeding-full-disk-encryption

该帖子建议我们必须编辑该文件crypto-base.sh以跳过安全删除过程

d-i partman/early_command \
       string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh

全新的硬盘不需要经过这个过程,所以如果有人告诉您必须执行这个过程来提高安全性,那么他们实际上不知道自己在说什么。

新功能:有新的语法可以跳过磁盘擦除,而无需执行上述所有操作:

  echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
  echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
  echo "d-i partman-crypto/weak_passphrase boolean true"
  echo "d-i partman-crypto/confirm boolean true"
  echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
  echo "d-i partman-auto-crypto/erase_disks boolean false"

相关内容