LUKS フルディスク暗号化を使用して Debian をインストールするときに、安全な削除手順をスキップすることは可能ですか?

LUKS フルディスク暗号化を使用して Debian をインストールするときに、安全な削除手順をスキップすることは可能ですか?

LUKS フルディスク暗号化を使用して、新品の 500GB ハードドライブに Debian をインストールしています。現在、ドライブを安全に削除してインストールの準備を整えるのに約 24 時間かかります。これまで使用したことのない新品のドライブなので、安全な削除手順をスキップしてインストールにそれほど時間がかからないようにインストール プロセスを構成できますか?

私はインストールを実行するために preseed ファイルを使用しているので、そのような構成が存在する場合は、具体的な preseed オプションが何であるかを知っておくと便利です。

答え1

可能です -- 確かにそうですが、そうすると安全性が低下します。一般には広く知られていませんが、デフォルトのフォーマットでは消去されない新しいドライブには、初期の MBR などのロガーや痕跡が残っていることがよくあります (これは、適切なフォーマットというよりはエッチ・ア・スケッチに似ており、「ジャーナル」を消去するだけで、署名や inode リダイレクトを下位レベルで消去するものではありません... これが luks の経験のためだけで、本当に機密性の高い資料を保護するためではない場合は、スキップしても問題ありません。ただし、適切な /secure インストールでは、スキップすると脆弱性が生じ、熟練した調査員や攻撃者が簡単に悪用できることに注意してください。また、新しいドライブなので、サイドノートとして... ドライブを最大限に活用してください。デフォルトのフォーマットでは、ほとんどのインストール (特に luks のインストール) で普遍的に使用可能にするために必要なオーバーヘッドよりも多くのオーバーヘッドが使用されます。

編集: 更新されたプロセス:

  1. ドライブを消去しないでください。luksDeviceFormatの時点で行われたデフォルトのフォーマットを使用してください。

  2. インストールを続行する

  3. 確かにより脆弱ではあるが、使用可能な Luks をインストールします。

答え2

preseed ファイルを使用しているので、次の点を確認してください。

https://www.linuxjournal.com/content/preseeding-full-disk-encryption

crypto-base.sh投稿では、安全な削除プロセスをスキップするためにファイルを編集する必要があると示唆されています

d-i partman/early_command \
       string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh

新品のハードドライブではこのプロセスを経る必要はありません。そのため、セキュリティを強化するためにこのプロセスを実行する必要があると誰かが言った場合、その人は実際には何を言っているのか分かっていません。

新機能: 上記のすべてを実行せずにディスク消去をスキップする新しい構文があります:

  echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
  echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
  echo "d-i partman-crypto/weak_passphrase boolean true"
  echo "d-i partman-crypto/confirm boolean true"
  echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
  echo "d-i partman-auto-crypto/erase_disks boolean false"

関連情報