¿Cómo instalar la pantalla de frase de contraseña en una memoria USB?

tag-icon tag-icon grub2 boot-loader luks
¿Cómo instalar la pantalla de frase de contraseña en una memoria USB?

Al comienzo del arranque de Linux, se carga un programa especial que solicita una frase de contraseña si su Linux está instalado en encrypted-lvm, pero esto puede ser un problema de seguridad si el programa especial se infecta con un virus de Microsoft Windows, tal vez modificado, y envía la frase de contraseña a algún lugar. de la partición de Windows. Pero instalar el programa de frase de contraseña en una memoria USB es mucho más seguro debido a que está más aislado que en el disco duro. Quiero saber cómo crear un USB de arranque para ingresar la frase de contraseña para poder iniciar sesión en Linux.

Respuesta1

El programa especial al que te refieres está dentro del initramfs del kernel de Linux. El initramfs contiene un sistema de archivos / temporal con los beneficios adicionales que necesita para montar el sistema de archivos / real. En su caso, contiene, entre otras cosas, la herramienta cryptsetup y un script (el programa especial) para obtener su frase de contraseña.

Entonces, para lograr lo que buscas, básicamente necesitas hacer que tu disco USB sea la partición /boot de tu sistema. /boot contiene su kernel de Linux, initramfs, GRUB2 stage2, etc.

Para ser claros, aún arrancarías desde tu disco interno, pero GRUB2 se reinstalará para que cargue su configuración, otras etapas y tu kernel desde tu disco USB. El proceso se muestra a continuación, pero antes de embarcarse, asegúrese de tener una forma alternativa de obtener acceso a su sistema, como a través de una unidad LiveCD/USB. Este proceso cambiará la forma en que se carga Linux, y si va hacia el sur, se quedará sin un plan B.

  1. Usando fdisk /dev/sdX(donde sdX es el disco USB), cree una partición en su disco USB.
  2. Formatee la partición antes mencionada con un sistema de archivos Linux (como ext2, 3 o 4). Ex.mkfs.ext3 /dev/sdX1
  3. Realice una copia de seguridad de su archivo /boot. Es importante, así que más vale prevenir que curar. Por ejemplo,pushd /boot; tar -cvzf /root/boot-backup.tar.gz .; popd
  4. Monte el nuevo sistema de archivos en algún lugar y copie el contenido del /boot actual en él.
  5. Desmonte el nuevo sistema de archivos y vuelva a montarlo como su nuevo /boot, actualizando /etc/fstab mientras lo hace. Es necesario montar el nuevo /boot para el siguiente paso.
  6. Vuelva a instalar GRUB2 utilizando el MBR en el que esté actualmente reinstalado: grub-install /dev/sdY. La razón por la que es necesario reinstalarlo es porque cambió la ubicación de /boot. Este comando también instalará archivos en /boot/grub, de ahí la necesidad de montarlo (y tener una copia de seguridad).
  7. Regenere el archivo de configuración de GRUB2:grub-mkconfig -o /boot/grub/grub.cfg
  8. Revise el archivo de configuración generado en/boot/grub/grub.cfg. Deberías ver que hace referencia al disco USB (no recuerdo si usa un disco o un UID del sistema de archivos).

Pruebe la configuración iniciando con la unidad USB conectada. Luego intente iniciar sin la unidad USB; que no debería funcionar.

información relacionada