Estoy instalando Debian usando cifrado de disco completo LUKS en discos duros nuevos de 500 GB. Actualmente, se necesitan aproximadamente 24 horas para preparar la unidad para la instalación eliminándola de forma segura. Dado que es una unidad nueva que nunca se ha utilizado antes, ¿es posible configurar el proceso de instalación para omitir el paso de eliminación segura para que la instalación no demore tanto?
Estoy usando un archivo preestablecido para controlar la instalación, por lo que si existen tales configuraciones, sería genial saber cuáles son las opciones preestablecidas específicas.
Respuesta1
Posible, claro, PERO eso lo hace menos seguro, aunque no es ampliamente conocido entre el público en general, a menudo hay registradores y/o rastros del mbr inicial y demás en unidades nuevas que NO se borran con el formateo predeterminado (que es más como un boceto grabado que un formato adecuado, ya que simplemente borra el "diario", no las firmas y las redirecciones de inodos en el nivel inferior... Si esto es simplemente por experiencia y no realmente para proteger materiales altamente sensibles que se saltan está bien. Solo recuerde que, para cualquier instalación adecuada/segura, omitirla genera vulnerabilidades que un investigador/atacante con habilidades decentes puede explotar con mucha más facilidad, ya que es una unidad NUEVA... Obtenga toda la extensión de la unidad. a su disposición: el formato predeterminado utiliza más gastos generales de los que la mayoría de las instalaciones (especialmente las de Luks) necesitan para que sean universalmente utilizables.
EDITAR: Proceso actualizado:
NO limpie la unidad; use el formato predeterminado realizado en el momento del formato luksDevice
Continuar con la instalación
tener una instalación de Luks ciertamente más vulnerable pero utilizable.
Respuesta2
Dado que está utilizando el archivo preconfigurado, mire esto:
https://www.linuxjournal.com/content/preseeding-full-disk-encryption
La publicación sugiere que tenemos que editar el archivo crypto-base.shpara omitir el proceso de eliminación segura.
d-i partman/early_command \
string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh
Un disco duro nuevo no necesita pasar por este proceso, por lo que si alguien le dice que debe realizar este proceso para aumentar la seguridad, en realidad no sabe de qué está hablando.
NUEVO: Hay una nueva sintaxis para omitir el borrado del disco sin pasar por todo lo anterior:
echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
echo "d-i partman-crypto/weak_passphrase boolean true"
echo "d-i partman-crypto/confirm boolean true"
echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
echo "d-i partman-auto-crypto/erase_disks boolean false"