使用 LUKS 全碟加密安裝 Debian 時是否可以跳過安全刪除步驟?

使用 LUKS 全碟加密安裝 Debian 時是否可以跳過安全刪除步驟?

我正在使用 LUKS 全碟加密將 Debian 安裝到全新的 500GB 硬碟上。目前,透過安全刪除驅動器來準備驅動器安裝需要大約 24 小時。由於它是以前從未使用過的全新驅動器,是否可以將安裝過程配置為跳過安全性刪除步驟,以便安裝不需要那麼長時間?

我正在使用預置文件來驅動安裝,因此如果存在此類配置,那麼了解特定的預置選項是什麼會很棒。

答案1

可能——當然,但這會降低它的安全性,雖然在公眾中並不廣為人知,但在全新的驅動器中通常會存在記錄器和/或初始mbr 的痕跡,這些驅動器不會被默認格式化擦除(這更像是蝕刻草圖而不是正確的格式,因為它只是擦除“日誌”,而不是擦除較低級別的簽名和索引節點重定向...如果這只是為了獲得經驗而不是真正保護高度敏感的材料,請跳過沒關係..只要記住,任何正確的/安全的安裝都會跳過它,從而導致熟練的調查員/攻擊者可以更輕鬆地利用這些漏洞,因為它是一個新驅動器....取得驅動器放置的完整範圍。

編輯:更新過程:

  1. 不要使用 luksDevice Format 時完成的預設格式擦除驅動器

  2. 繼續安裝

  3. 確實有一個更容易受到攻擊但可用的 Luks 安裝。

答案2

由於您正在使用預置文件,請看一下:

https://www.linuxjournal.com/content/preseeding-full-disk-encryption

該帖子建議,我們必須編輯該文件crypto-base.sh以跳過安全刪除過程

d-i partman/early_command \
       string sed -i.bak 's/-f $id\/skip_erase/-d $id/g'
/lib/partman/lib/crypto-base.sh

全新的硬碟不需要經歷這個過程,所以如果有人告訴你必須做這個過程來提高安全性,他們實際上不知道他們在說什麼。

新:有新的語法可以跳過磁碟擦除,而無需執行上述所有操作:

  echo "d-i partman-crypto/passphrase string ${LUKS_PASS}"
  echo "d-i partman-crypto/passphrase-again string ${LUKS_PASS}"
  echo "d-i partman-crypto/weak_passphrase boolean true"
  echo "d-i partman-crypto/confirm boolean true"
  echo "# When disk encryption is enabled, skip wiping the partitions beforehand."
  echo "d-i partman-auto-crypto/erase_disks boolean false"

相關內容