Можно ли пропустить шаг безопасного удаления при установке Debian с полным шифрованием диска LUKS?

Можно ли пропустить шаг безопасного удаления при установке Debian с полным шифрованием диска LUKS?

Я устанавливаю Debian с использованием полнодискового шифрования LUKS на совершенно новые жесткие диски объемом 500 ГБ. В настоящее время подготовка диска к установке путем безопасного удаления диска занимает около 24 часов. Поскольку это совершенно новый диск, который никогда ранее не использовался, возможно ли настроить процесс установки так, чтобы пропустить шаг безопасного удаления, чтобы установка не занимала так много времени?

Я использую preseed-файл для управления установкой, поэтому, если такие конфигурации существуют, было бы здорово узнать, каковы конкретные параметры preseed.

решение1

Возможно --конечно, НО это делает его менее безопасным, хотя широкой публике это не известно, часто существуют регистраторы и/или следы исходного mbr и т. п. на совершенно новых дисках, которые НЕ стираются при форматировании по умолчанию (которое больше похоже на etch-a-sketch, чем на надлежащее форматирование, поскольку оно просто стирает «журнал», а не стирает подписи и перенаправления inode на более низком уровне... Если это просто для опыта luks, а не для настоящей защиты высококонфиденциальных материалов, то пропуск - это нормально. Просто помните, что для любого надлежащего / безопасного пропуска установки это создает уязвимости, которые достаточно опытный исследователь / злоумышленник может с гораздо большей легкостью использовать. Также примечание, учитывая, что это НОВЫЙ диск... Получите полный объем диска, предоставленного в ваше распоряжение -- форматирование по умолчанию использует больше накладных расходов, чем необходимо большинству установок (особенно luks), чтобы сделать их универсально пригодными для использования.

EDIT: Обновленный процесс:

  1. НЕ стирайте данные с диска, используйте форматирование по умолчанию, выполненное во время форматирования luksDevice.

  2. Продолжить установку

  3. есть, конечно, более уязвимая, но пригодная для использования установка Luks.

решение2

Поскольку вы используете файл preseed, взгляните на это:

https://www.linuxjournal.com/content/preseeding-full-disk-encryption

В посте предлагалось отредактировать файл, crypto-base.shчтобы пропустить процесс безопасного удаления.

d-i partman/early_command \
       string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh

Совершенно новому жесткому диску не нужно проходить через этот процесс, поэтому, если кто-то сказал вам, что вы должны выполнить этот процесс для повышения безопасности, то на самом деле он не знает, о чем говорит.

НОВОЕ: Появился новый синтаксис, позволяющий пропустить очистку диска, не выполняя все вышеперечисленные действия:

  echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
  echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
  echo "d-i partman-crypto/weak_passphrase boolean true"
  echo "d-i partman-crypto/confirm boolean true"
  echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
  echo "d-i partman-auto-crypto/erase_disks boolean false"

Связанный контент