E credo anche si tratti di una buona idea.
Non so quanto sarebbe complesso sostituire una /boot con una /boot +
keylogger, ma immagino non troppo.
Potrebbe essere un bell'esercizio, sempre che, come al solito, io non
sia arrivato troppo tardi e sia tutto già bello e pronto su github. :-)
Saluti,
Andrea
Il giorno lun 4 set 2017 alle 13:10, Claudio Ferronato
<[email protected]> ha scritto:
Immagino che il suo consiglio fosse comunque di mettere le
partizioni, o volumi LVM, all'interno di un'unica partizione LUKS.
Come appunto fanno tutte le distribuzioni.
Semplicemente la /boot, non cifrabile comunque, la metteresti su una
chiavetta USB invece che su disco.
IMHO
Claudio
-------- Messaggio originale --------
Da: Nicola Bressan <[email protected]>
Data: 04/09/2017 11:04 (GMT+01:00)
A: [email protected]
Oggetto: Re: [ml] Linux OS encryption and TPM
Un risultato simile (migliore?) lo ottieni semplicemente *non*
mettendo
una partizione /boot in chiaro sul disco fisso e lasciando kernel e
initrd su una penna USB bootabile; lo realizzi facilmente con
qualsiasi
distribuzione che supporti FDE (initrd+LUKS+lvm), io l'ho fatto sia
con
slackware che alpine linux che openbsd.
Grazie Igor!
Una domanda, ma così facendo avrei le partizioni in chiaro sul
sistema, giusto?
Mentre io vorrei che togliendo il supporto con la chiave il sistema
fosse non avviabile e i dati in esso contenuti, illeggibili..
forse non mi ero spiegato completamente prima :)
