Estou instalando o Debian usando criptografia de disco completo LUKS em novos discos rígidos de 500 GB. Atualmente, leva cerca de 24 horas para preparar a unidade para instalação, excluindo-a com segurança. Como é uma unidade totalmente nova que nunca foi usada antes, é possível configurar o processo de instalação para pular a etapa de exclusão segura para que a instalação não demore tanto?
Estou usando um arquivo de pré-configuração para conduzir a instalação, portanto, se tais configurações existirem, seria ótimo saber quais são as opções específicas de pré-configuração.
Responder1
Possível --claro, MAS isso o torna menos seguro, embora não seja amplamente conhecido pelo público em geral, muitas vezes há loggers e/ou rastros do mbr inicial e similares em unidades totalmente novas que NÃO são apagadas pela formatação padrão (que é mais parecida com um esboço do que um formato adequado, pois apenas apaga o "diário", não limpa as assinaturas e os redirecionamentos de inode no nível inferior ... Se isso for apenas para uma experiência lus e não realmente para proteger materiais altamente sensíveis, pulando está tudo bem.. Apenas lembre-se de que qualquer instalação adequada/segura ignorada, isso convida a vulnerabilidades que um investigador/atacante decentemente qualificado pode explorar com muito mais facilidade, visto que é uma NOVA unidade ... Obtenha toda a extensão da unidade colocada. à sua disposição - a formatação padrão usa mais sobrecarga do que a maioria das instalações (especialmente as luks) precisa para torná-las universalmente utilizáveis.
EDITAR: Processo atualizado:
NÃO limpe a unidade, use o formato padrão feito no momento do luksDevice Format
Prossiga com a instalação
tem uma instalação do Luks reconhecidamente mais vulnerável, mas utilizável.
Responder2
Como você está usando o arquivo preseed, dê uma olhada nisso:
https://www.linuxjournal.com/content/preseeding-full-disk-encryption
A postagem sugeriu que temos que editar o arquivo crypto-base.shpara pular o processo de exclusão segura
d-i partman/early_command \
string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh
Um disco totalmente novo não precisa passar por esse processo, então se alguém lhe disser que você deve fazer esse processo para aumentar a segurança, na verdade não sabe do que está falando.
NOVO: Há uma nova sintaxe para pular a limpeza do disco sem passar por todos os itens acima:
echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
echo "d-i partman-crypto/weak_passphrase boolean true"
echo "d-i partman-crypto/confirm boolean true"
echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
echo "d-i partman-auto-crypto/erase_disks boolean false"