Sistema Linux dual con cifrado de disco completo

Navega tus respuestas
1

( Esta es una continuación de mi pregunta en Ask Ubuntu. )

Mi objetivo es que quiero tener un arranque dual de Xubuntu / Ubuntu, con un retén. Quiero que el disco esté completamente encriptado con el cifrado de disco completo de dm-crypt (nativo suministrado). Ahora sé que, de manera inmediata, el instalador de ubuntu no va a hacer esto tan simple para mí, y quizás esto no sea factible, porque no estoy seguro de que pueda engañar a las herramientas para crear las dos configuraciones diferentes de initrd para cada sistema de archivos raíz. .

Entonces, preguntas:

¿Alguien ha hecho esto antes y hay una forma sencilla de que me esté perdiendo?

Dado (1) es negativo ...

  1. ¿Debo crear volúmenes base cifrados separados para cada instalación (xubuntu / ubuntu) o debo crear 1 cifrado ¿Volumen y particiones separadas instaladas dentro de él? Me estoy inclinando hacia este último para simplificar el proceso. Sin embargo no estoy seguro cómo manejará esto el cargador de arranque.

  2. Una vez que me acerque por primera vez, si voy con 1 volumen cifrado, ¿cómo ¿Lo descifro e instalo la segunda distribución (y obtengo el arranque?) loader, initrd, etc actualizado correctamente?

Gracias ... Cualquier apreciación es apreciada.

    
pregunta Tek Tengu 08.03.2013 - 15:36
fuente

1 respuesta

1

Debe crear un solo volumen si desea que las mismas contraseñas sean válidas para ambas instalaciones, o dos volúmenes separados si desea contraseñas diferentes. En otras palabras, cree tantos volúmenes separados como necesite conjuntos separados de usuarios autorizados.

El kernel y el initrd de ambas instalaciones deben estar fuera del volumen cifrado. Desde una perspectiva de seguridad, no importa si mantiene los dos volúmenes /boot separados o no.

Si realiza un arranque confiable desde un TPM, tenga en cuenta que el sistema operativo no primario también está protegido por integridad; Creo que, en ese caso, debe mantener las dos instalaciones separadas y registrarlas de forma independiente con UEFI (pero no tengo experiencia de UEFI para decirle qué debe vigilar).

Tenga en cuenta que es posible que no necesite un arranque dual. Es posible que pueda implementar su política de seguridad deseada emitiendo cuentas separadas o creando contenedores virtualizados separados, cada uno con sus propios usuarios root.

Consulte mi respuesta en AU para la Aspectos más técnicos.

    
respondido por el Gilles 09.03.2013 - 11:46
fuente

Lea otras preguntas en las etiquetas

¿Se debe usar Framebusting (no usar) en una página de inicio de sesión de IdP? paquetes icmp no pueden alcanzar el firewall a pesar de agregar una regla específica, ¿por qué?