全部,
最近,我们进行了认证过程,发现攻击者可以访问 /boot 分区。
建议加密包括 /boot 分区在内的整个硬盘以缓解这种情况。
这是我的问题:
- 如何生成用于解密 /boot 分区的启动过程密码?作为开发人员/IA 团队,我们有权生成该密码吗?
原因是我们在创建发行版后有一个复制硬盘的过程,并将其放入硬盘中。硬盘也可能被放入不同的机器中。
如何处理这些情况?每次复制硬盘后是否都需要生成密码?每次发布时都会复制密码,最终我们会为多个硬盘使用相同的密码吗?密码是否取决于创建密码时使用的硬件,还是通过其他方式生成?
我们应该寻找其他罪魁祸首,以确定其是否可行或是否由于时间/金钱/流程而无法完成?
感谢您提供的任何建议。这是我们第一次进行这项测试,结果却让我们大吃一惊。
答案1
鸡和蛋的问题...必须先从未加密的媒体启动某些东西才能解密你的启动分区...这是UEFI。引导程序已签名,机器不会启动未签名或损坏的引导程序。另一个解决方案是仅从只读媒体引导(假设您可以保证其安全并强制执行)。
您的问题中不清楚的是攻击者如何访问/boot
分区。如果他们通过渗透正在运行的系统来做到这一点,那么任何加密都无法挽救您。如果他们这样做是因为他们有对系统的物理访问权限,那么他们就有足够的其他攻击方法。
欲了解更深入的答案,请参阅https://security.stackexchange.com/