Hallo,
Ich hätte eine einfache Frage zur Sicherheit von Arch Linux.

Bei einem unverschlüsselten Arch kann ich jederzeit mit einem Arch Live USB Stick ganz einfach u.a mit arch-chroot vollen zugriff auf das System bekommen, und bei einer Verschlüsselung mit LVM immerhin noch zugriff auf die Boot Partition.
Gibt es vielleicht eine möglichkeit das zu unterbinden?, das System zu sperren für eine Veränderung von ausen?
Wäre schön wenn mir da jemand was zu erzählen könnte.

Grüße, aspbones
Um auch /boot zu verschlüsseln kannst du z.B. einen Bootloader wie GRUB verwenden:
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Encrypted_boot_partition_(GRUB)
Allerdings ist dann natürlich immer noch der Bootloader selbst nicht gegen Veränderung geschützt.
Da gibt es ein Henne-Ei Problem. Um eine Software zu starten, muss diese gelesen werden können.
Wenn sie allerdings gelesen werden kann, können die Daten extrahiert werden.
Eine Lösung dafür wären TPM und Secure Boot. Diese sind unter Linux allerdings recht frickelig aufzusetzen und fordern viel Wartung.
Es ist verdammt schwer sich gegen Angriffe zu wehren, wenn der Angreifer direkt Hand anlegen kann. TPM und Secure Boot hilft immer noch nicht gegen einen einfachen Keylogger. Und selbst dann kann ein Angreifer die verschlüsselten Daten zumindest verändern. Die Festplatten haben durch die Verschlüsselung ja keinen Schreibschutz. Bei Ubuntu wo durch einheitlichen Installer trotz Verschlüsselung bekannt ist, welche Datei wo liegt, gab es da mal einen Proof of Concept ( https://www.jakoblell.com/blog/2013/12/22/practical-malleability-attack-against-cbc-encrypted-luks-partitions/ ). Dort wurde allerdings auch ein unsicherer Cipher genutzt.

Ich habe mich für die einfache Lösung entschieden. Mein /boot ist ein USB-Stick. Den kann man abstecken sobald die Kiste läuft und am Schlüsselbund mitnehmen. Zusätzliche Sicherheit gibts durch verschlüsselte Keyfiles, das eingegebene Passwort ist nicht das LUKS-Passwort der Festplatte sondern das zum Entschlüsseln der Keyfiles. Nebenbei sind auf dem USB-Stick dann noch ein paar Linux-Live-CDs drauf und für FreeDOS/Windows eine normale Datenpartition. Somit ein Multifunktionsstick a la Schweizer Taschenmesser. Sonst würde ich auch einfach drauf verzichten, für Otto Normaluser wird das normale Verschlüsselungs-Passwort schon reichen. *schulterzuck*
schard schriebAllerdings ist dann natürlich immer noch der Bootloader selbst nicht gegen Veränderung geschützt.
Da gibt es ein Henne-Ei Problem. Um eine Software zu starten, muss diese gelesen werden können.
Wenn sie allerdings gelesen werden kann, können die Daten extrahiert werden.
Eine Verschlüsselung schützt generell nicht vor Veränderung. Eine Verschlüsselung bietet keine Integrität, sondern garantiert nur Vertraulichkeit.
Eine Lösung dafür wären TPM und Secure Boot. Diese sind unter Linux allerdings recht frickelig aufzusetzen und fordern viel Wartung.
TPM braucht es eigentlich nicht, es reicht Secure Boot. Ausserdem ist Secure Boot unter Linux überhaupt nicht frickelig. Frickelig wird es erst dann, wenn du eigene Schlüssel verwalten und Software signieren willst. Aber das ist und bleibt betriebssystemunabhängig eine diffizile Angelegenheit.

Im Übrigen wird der TPM-Chip (zum Beispiel bei Laptops) sehr häufig einfach mitgestohlen.

frostschutz schriebEs ist verdammt schwer sich gegen Angriffe zu wehren, wenn der Angreifer direkt Hand anlegen kann.
Kommt wohl auch etwas auf den Angreifer an, oder nicht?
TPM und Secure Boot hilft immer noch nicht gegen einen einfachen Keylogger.
Kannst du dieses Szenario etwas genauer ausführen? Hardware-Keylogger? Software-Keylogger? Wie werden die Tastatureingaben übermittelt?
Zusätzliche Sicherheit gibts durch verschlüsselte Keyfiles, das eingegebene Passwort ist nicht das LUKS-Passwort der Festplatte sondern das zum Entschlüsseln der Keyfiles.
Inwiefern unterscheidet sich die kryptographische Stärke eines Passwortes zum Entschlüsseln der Schlüsseldatei von der der LUKS-Passphrase, sodass man von zusätzlicher Sicherheit sprechen könnte?
5 Tage später
Danke mal bis dahin.
Das "Schweizer Taschenmesser" hatte Ich mal im Kopf aber habs verworfen.
Secureboot hab ich beerdigt, aber TPM hört sich gut an, da werde ich mal bischen googeln.
13 Tage später
  • [gelöscht]

frostschutz schriebIch habe mich für die einfache Lösung entschieden. Mein /boot ist ein USB-Stick.
Das finde ich interessant. Da fällt mit bloß einwas auf:
Ich habe meine EFI-Partition bisher immer unter /boot/efi eingehängt, aber wenn die dann auch auf dem USB Stick ist, ist das blöd.
Muss man die EFI-Partition dann unter /efi mounten?
PackageCreator schrieb
frostschutz schriebIch habe mich für die einfache Lösung entschieden. Mein /boot ist ein USB-Stick.
Das finde ich interessant. Da fällt mit bloß einwas auf:
Ich habe meine EFI-Partition bisher immer unter /boot/efi eingehängt, aber wenn die dann auch auf dem USB Stick ist, ist das blöd.
Muss man die EFI-Partition dann unter /efi mounten?
Wieso sollte man etwas daran ändern? Es reicht ja, wenn du die /etc/fstab entsprechend anpasst und jede Partition an den entsprechenden Einhängepunkt einbindest. Wenn du also eine zusätzliche /boot-Partition hast, dann musst du also auch einen Eintrag dafür in /etc/fstab haben.