Autor Thema: Verschlüsseltes System, Bootloader offen=Sicherheitstechnisch nicht optimal?  (Gelesen 421 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Markjaro

  • Jr. Mitglied
  • **
  • Beiträge: 57
  • Dankeschön: 6 mal
  • Karma: +0/-0
  • Desktop: XFCE
  • Grafikkarte: intel
  • Kernel: Den aktuellsten
  • Prozessor: i5-2520M
  • Skill: Durchschnitt
  • Zweig: stable
Hallo zusammen, ich habe schon mal im "Nachbarforum" gefragt aber keine Antwort bekommen. Vielleicht könnt Ihr mir ja weiter helfen?

Wenn ich Manjaro installiere und für Boot und Root-Partition eine eigene Partition erstelle, aber nur Root verschlüsselt wird, bekomme ich den Hinweis,
dass dies "sicherheitstechnisch nicht optimal ist, da wichtige Systemdateien auf die unverschlüsselte Bootpartition geschrieben werden".
Meines Wissens ist es doch nur der Kernel, Grub und Initramfs, die dort abgelegt werden.

Warum dann dieser Hinweis? Wäre nett wenn mir das jemand kurz erklären könnte, denn eine Sicherheitsverletzung kann ich da nicht erkennen.  :)

Vielen Dank!
Markus

Offline Prototyp_002

  • Neuling
  • *
  • Beiträge: 4
  • Dankeschön: 1 mal
  • Karma: +0/-0
  • Desktop: XFCE
  • Skill: Anfänger
  • Zweig: stable
Möglicherweise liege ich hier nicht ganz korrekt, ich bitte zu entschuldigen, wenn ich hier technischen Stuss erzähle =)



Ein bekannter hatte mir mal gezeigt, wie man beim Booten über einen "editier-Befehl" in die Boot-Sequenz kommt. So, dass du quasi die Befehle, die Grub ausführt, dort nochmal manuell editieren kann.
Er hatte dann da vor der Passwortabfrage bzw. vor dem User-Login einfach nen Befehl eingefügt, mit dem er den Bootvorgang unterbrochen hat und eine Befehlskonsole zu verfügung hatte. Damit konnte er dann das Login überspringen, so dass er sich überhaupt nicht anmelden brauchte.


Ich könnte es jetzt auch nicht mehr rekonstruieren. Hoffe das hilft.
Jeder, der mehr Ahnung hat, ist eingeladen, mich zu korrigieren und ihm zu helfen =)

Offline Markjaro

  • Jr. Mitglied
  • **
  • Beiträge: 57
  • Dankeschön: 6 mal
  • Karma: +0/-0
  • Desktop: XFCE
  • Grafikkarte: intel
  • Kernel: Den aktuellsten
  • Prozessor: i5-2520M
  • Skill: Durchschnitt
  • Zweig: stable
Nee, darum geht es nicht. Das was Dir Dein Bekannter gezeigt hat ist die editier-Funktion von Grub, mit der man das System booten und so Rootrechte bekommen kann, wenn ich Dich richtig verstehe. Aber die Festplatten wird verschlüsselt und um sie wieder zu öffnen braucht man zwingend den Key, sonst funktioniert das nicht (da hilft auch kein rumfummeln am Bootloader).  ;)

Mich wundert nur der Warnhinweis, dass dieses Setup nicht sicher sei, obwohl auf der Bootpartition ja keine sicherheitsrelevanten Daten liegen,

PS: Hier wird es ganz gut erklärt: https://www.youtube.com/watch?v=u6fFTFfYsdo
« Letzte Änderung: 27. April 2020, 20:44:05 von Markjaro »

Offline Asparagus

  • Neuling
  • *
  • Beiträge: 5
  • Karma: +0/-0
  • Desktop: KDE/Plasma5 auf Thinkpad T61
  • Grafikkarte: Intel 965GM
  • Grafikkartentreiber: free
  • Kernel: 4.1.x
  • Prozessor: Core2 Duo T7500
  • Skill: Durchschnitt
  • Zweig: Stable
Warum willst du die Boot-Partition nicht gleich mitverschlüsseln? /boot ist normalerweise bei der (verschlüsselten LUKS-) Standardinstallation Bestandteil des Systems, bestimmte Werte und Daten werden auch dort hinein geschrieben. Also ist es doch nur logisch, dass diese Meldung bei dir erscheint.

Offline Markjaro

  • Jr. Mitglied
  • **
  • Beiträge: 57
  • Dankeschön: 6 mal
  • Karma: +0/-0
  • Desktop: XFCE
  • Grafikkarte: intel
  • Kernel: Den aktuellsten
  • Prozessor: i5-2520M
  • Skill: Durchschnitt
  • Zweig: stable
Danke für die Antwort!  :)
Meine kurze Antwort auf Deine Gegenfrage: Weil es mich interessiert.  ;)

Ausführliche Antwort:
Auf meiner Boot-Partition liegt der Kernel und die Initram-Disk und der Bootloader selbst. Daran ist für mich kein sicherheitsrelevantes Problem zu erkennen. Ich bin inzwischen zwar auf das reine Arch umgestiegen, aber da mir auch in der VM Manjaro stets diese Warnhinweis aufploppt, interessiert mich schlichtweg, warum mir Calarmares diese Fehlermeldung liefert. Außerdem habe ich festgestellt, dass Grub (der ja als einziger eine verschlüsselte Partition lesen kann, wenn ich das richtig sehe), keine verschlüsselte Btrfs-Platte booten kann, weshalb ich auf systemd-boot (EFI) umsteigen musste, aber auch hier ist die Boot (EFI)-Partition unverschlüsselt.
Darum die Frage, inwieweit es nicht optimal ist, Boot nicht zu verschlüsseln (denn ein Luks-Key wird ja auf Boot nicht abgelegt). Ich sehe zwar kein Problem darum, aber die Warnmeldung wird ja schon ihre Daseinsberechtigung haben.