저는 LUKS 전체 디스크 암호화를 사용하여 새로운 500GB 하드 드라이브에 Debian을 설치하고 있습니다. 현재 드라이브를 안전하게 삭제하여 설치를 위해 드라이브를 준비하는 데 최대 24시간이 소요됩니다. 한 번도 사용한 적이 없는 새 드라이브이기 때문에 보안 삭제 단계를 건너뛰고 설치하는 데 시간이 오래 걸리지 않도록 설치 프로세스를 구성할 수 있나요?
저는 설치를 진행하기 위해 미리 설정 파일을 사용하고 있습니다. 따라서 그러한 구성이 존재한다면 특정 미리 설정 옵션이 무엇인지 알아두면 좋을 것입니다.
답변1
가능합니다. 물론입니다. 그러나 일반 대중에게 널리 알려지지는 않았지만 보안이 덜한 반면, 기본 포맷으로 지워지지 않는 새 드라이브에는 초기 MBR의 로거 및/또는 흔적이 있는 경우가 많습니다(이는 더 비슷합니다). 서명을 지우는 것이 아니라 "저널"을 지우고 하위 수준에서 inode를 리디렉션하기 때문에 적절한 형식보다 에칭 스케치입니다... 이것이 단순히 luks 경험을 위한 것이고 실제로 매우 민감한 재료를 보호하기 위한 것이 아닌 경우 건너뛰기 괜찮습니다. 적절한/보안 설치를 건너뛰면 숙련된 조사자/공격자가 훨씬 더 쉽게 악용할 수 있는 취약점이 발생한다는 점을 기억하십시오. 또한 새 드라이브로 간주됩니다... 드라이브의 전체 범위를 확보하십시오. 귀하의 처분에 따라 기본 형식화는 대부분의 설치(특히 luks 설치)보다 보편적으로 사용할 수 있도록 만드는 데 필요한 것보다 더 많은 오버헤드를 사용합니다.
편집: 업데이트된 프로세스:
luksDevice Format 시 수행된 기본 형식을 사용하여 드라이브를 지우지 마십시오.
설치를 진행하세요
확실히 더 취약하지만 사용 가능한 Luks'd 설치가 있습니다.
답변2
미리 설정 파일을 사용하고 있으므로 다음을 살펴보십시오.
https://www.linuxjournal.com/content/preseeding-full-disk-encryption
crypto-base.sh게시물에서는 보안 삭제 프로세스를 건너뛰려면 파일을 편집해야 한다고 제안했습니다.
d-i partman/early_command \
string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh
새 하드는 이 과정을 거칠 필요가 없습니다. 따라서 누군가가 보안을 강화하려면 이 과정을 거쳐야 한다고 말한다면 실제로는 자신이 무슨 말을 하는지 알지 못합니다.
신규: 위의 모든 단계를 거치지 않고 디스크 삭제를 건너뛸 수 있는 새로운 구문이 있습니다.
echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
echo "d-i partman-crypto/weak_passphrase boolean true"
echo "d-i partman-crypto/confirm boolean true"
echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
echo "d-i partman-auto-crypto/erase_disks boolean false"