LINUX.ORG.RU

История изменений

Исправление sanyo1234, (текущая версия) :

А если сделать так: обычный LUKS — ВСЕ разделы шифрованы (никаких нешифрованных ESP/boot-ов).
Стандартный нешифрованный grub2 кладём... на флешку!

А сам по себе GRUB2 не затроянен уже? :) Может быть, лучше все же маленький загрузчик типа grub4dos или еще меньше?

Нужно загрузиться? Втыкаем флешку, грузим ОС, вынимаем флешку.

И защитит утёкших ключей и багов биоса/uefi/ima/evm/etc, потому что мы от них не зависим.

Флэшку кто грузит? Бивис?

Защитит от затроянивания загрузчика в моё отсутствие.

Но не защитит в твоем присутствии:

https://madaidans-insecurities.github.io/guides/linux-hardening.html

https://madaidans-insecurities.github.io/linux.html

IMHO чем изобретать велосипед, проще и намного быстрее поставить себе на рабочую станцию OpenBSD и не мучаться, а все нужные привычные прикладные проги запускать изолированно в линупсах на других железяках для начала хотя бы в виртуалках типа AQemu KVM и цепляться к ним например по VNC и SSH.

В идеале конечно лучше изолировать в Firecracker через Ignite/K3S/OpenNebula и т.п.

Исправление sanyo1234, :

А если сделать так: обычный LUKS — ВСЕ разделы шифрованы (никаких нешифрованных ESP/boot-ов).

Стандартный нешифрованный grub2 кладём... на флешку!

А сам по себе GRUB2 не затроянен уже? :) Может быть, лучше все же маленький загрузчик типа grub4dos или еще меньше?

Нужно загрузиться? Втыкаем флешку, грузим ОС, вынимаем флешку.

И защитит утёкших ключей и багов биоса/uefi/ima/evm/etc, потому что мы от них не зависим.

Флэшку кто грузит? Бивис?

Защитит от затроянивания загрузчика в моё отсутствие.

Но не защитит в твоем присутствии:

https://madaidans-insecurities.github.io/guides/linux-hardening.html

https://madaidans-insecurities.github.io/linux.html

IMHO чем изобретать велосипед, проще и намного быстрее поставить себе на рабочую станцию OpenBSD и не мучаться, а все нужные привычные прикладные проги запускать изолированно в линупсах на других железяках для начала хотя бы в виртуалках типа AQemu KVM и цепляться к ним например по VNC и SSH.

В идеале конечно лучше изолировать в Firecracker через Ignite/K3S/OpenNebula и т.п.

Исходная версия sanyo1234, :

А если сделать так: обычный LUKS — ВСЕ разделы шифрованы (никаких нешифрованных ESP/boot-ов).

Стандартный нешифрованный grub2 кладём... на флешку!

А сам по себе GRUB2 не затроянен уже? :) Может быть, лучше все же маленький загрузчик типа grub4dos или еще меньше?

Нужно загрузиться? Втыкаем флешку, грузим ОС, вынимаем флешку.

И защитит утёкших ключей и багов биоса/uefi/ima/evm/etc, потому что мы от них не зависим.

Флэшку кто грузит? Бивис?

Защитит от затроянивания загрузчика в моё отсутствие.

Но не защитит в твоем присутствии:

https://madaidans-insecurities.github.io/guides/linux-hardening.html

https://madaidans-insecurities.github.io/linux.html