Ubuntu Boot-Partition und MBR auf USB

T

Toby-

0
Hallo Forengemeinde!
Ich möchte mein Ubuntu-System zunächst mit LUKS verschlüsseln. Außerdem soll die Boot-Partition und der Boot-Loader nicht so zugänglich sein, sprich am Besten auf einem USB-Stick. Dazu habe ich ein paar Fragen:

1. Mit externer Boot-Partition sollte doch eine Manipulation der/des Boot-Partition/Boot-Loaders größtenteils ausgeschlossen sein, oder gibts da noch mehr was ich berücksichtigen muss?
2. Die Boot-Partition wird doch nur beim Systemstart benötigt, kann ich die im laufenden Betrieb wieder entfernen?
3. Angenommen, ich boote jetzt vollständig von CD/USB. Ist es nicht möglich, einfach hinzugehen, Bootloader neu drauf, im BIOS das Booten von CD umzustellen, und ich bekomme von der Manipulation beim nächsten Systemstart nichts mit? Ich müsste doch immer die Bootreihenfolge überprüfen?

Wäre für jede Hilfe dankbar :)
Viele Grüße
 
Hallo,
auf der Boot-Partition sollten für gewöhnlich keine sensitive Daten liegen, bzw., wenn du dort keine drauf speicherst, ist der Inhalt der Boot-Partition vollkommen uninteressant und bringt einem Dieb o.ä. überhaupt gar nichts.
Deswegen hast du auch keinen Sicherheitsgewinn, wenn du die Boot-Partition auf einem USB Stick auslagert. Denn ein Dieb legt einfach eine Live CD ein und kann dann die Platten mounten, sofern er dein Passwort erraten kann. Die Boot-Partition braucht er dafür wirklich nicht.

Und ja, du musst immer sicherstellen, dass du auch wirklich von USB/CD bootest. Allerdings, wie wahrscheinlich hälst du es, dass jmd deine Boot Part. manipuliert, um so evt. einen Keylogger zu installieren?
 
Danke für die fixe Antwort,
wenn ich mich nicht irre, liegt auf der Boot-Partition der Kernel, oder? Wenn man wirklich will kann man diesen doch sicher auch manipulieren?
Der Dieb sollte so ohne weiteres nicht die verschlüsselte Partition kommen. Wenn man sich anstatt mit Passwort authentifiziert, sondern mit einer art Key auf USB.

Ich halte es nicht für wahrscheinlich, aber ich habe Spaß und Interesse daran mein System so paranoid zu sichern :)
 
Toby-,
der Kernel auf Deiner Boot-Partition ist prinzipiell angreifbar, das ist korrekt. Lege diesen daher zusammen mit der initrc und den Grub auf den USB-Stick und boote von dort aus. Außerdem habe ich meine Boot-Partition mit Zufallszahlen überschrieben und prüfe beim USB-Boot ab, ob die Checksumme des MBRs (auf der Platte) korrekt ist. So würde man bemerken, wenn zwischenzetlich ein Bad Boy versuchen würde einen Bootloader auf der Platte zu installieren um von dort aus zu booten.

Das Verfahren macht Kernel- und Initrd-Update etwas aufwendiger.

Greetz
Hackse
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben