É possível pular a etapa de exclusão segura ao instalar o Debian com criptografia de disco completo LUKS?

É possível pular a etapa de exclusão segura ao instalar o Debian com criptografia de disco completo LUKS?

Estou instalando o Debian usando criptografia de disco completo LUKS em novos discos rígidos de 500 GB. Atualmente, leva cerca de 24 horas para preparar a unidade para instalação, excluindo-a com segurança. Como é uma unidade totalmente nova que nunca foi usada antes, é possível configurar o processo de instalação para pular a etapa de exclusão segura para que a instalação não demore tanto?

Estou usando um arquivo de pré-configuração para conduzir a instalação, portanto, se tais configurações existirem, seria ótimo saber quais são as opções específicas de pré-configuração.

Responder1

Possível --claro, MAS isso o torna menos seguro, embora não seja amplamente conhecido pelo público em geral, muitas vezes há loggers e/ou rastros do mbr inicial e similares em unidades totalmente novas que NÃO são apagadas pela formatação padrão (que é mais parecida com um esboço do que um formato adequado, pois apenas apaga o "diário", não limpa as assinaturas e os redirecionamentos de inode no nível inferior ... Se isso for apenas para uma experiência lus e não realmente para proteger materiais altamente sensíveis, pulando está tudo bem.. Apenas lembre-se de que qualquer instalação adequada/segura ignorada, isso convida a vulnerabilidades que um investigador/atacante decentemente qualificado pode explorar com muito mais facilidade, visto que é uma NOVA unidade ... Obtenha toda a extensão da unidade colocada. à sua disposição - a formatação padrão usa mais sobrecarga do que a maioria das instalações (especialmente as luks) precisa para torná-las universalmente utilizáveis.

EDITAR: Processo atualizado:

  1. NÃO limpe a unidade, use o formato padrão feito no momento do luksDevice Format

  2. Prossiga com a instalação

  3. tem uma instalação do Luks reconhecidamente mais vulnerável, mas utilizável.

Responder2

Como você está usando o arquivo preseed, dê uma olhada nisso:

https://www.linuxjournal.com/content/preseeding-full-disk-encryption

A postagem sugeriu que temos que editar o arquivo crypto-base.shpara pular o processo de exclusão segura

d-i partman/early_command \
       string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh

Um disco totalmente novo não precisa passar por esse processo, então se alguém lhe disser que você deve fazer esse processo para aumentar a segurança, na verdade não sabe do que está falando.

NOVO: Há uma nova sintaxe para pular a limpeza do disco sem passar por todos os itens acima:

  echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
  echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
  echo "d-i partman-crypto/weak_passphrase boolean true"
  echo "d-i partman-crypto/confirm boolean true"
  echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
  echo "d-i partman-auto-crypto/erase_disks boolean false"

informação relacionada