LINUX.ORG.RU

История изменений

Исправление Chaser_Andrey, (текущая версия) :

Слишком много флуда в этой теме.

И так.

Как сделать так что бы при выборе определённого пункта в grub, флешка отключалась и ОС не могла бы её включить?

Похоже, что никак? ОС имеет полный доступ к устройствам. Если что-то можно программно выключить, то можно и программно переинициализировать. Это если мы рассматриваем все возможные атаки.

Разве что вставлять между флешкой и компьютером самодельный USB-контроллер, который можно специальной командой аппаратно выключить, а включать нужно физически (например, обычное реле с пружинкой, которое размыкается программно, но замкнуть его можно только уже физическим усилием).

Я лишь могу тебе порекомендовать три способа:

  1. Втыкать флешку только при загрузке, и убирать обратно. Но это не решает проблемы со случайной загрузкой недоверенной ОС.
  2. Усложнить схему. На отдельную флешку закинуть ключ, на первичной флешке оставить только загрузчик. Флешку с ключем вставлять только когда уже запрашивается пароль на расшифровку (можно настроить udev в initramfs, чтобы он автоматом определял наличие флешки с ключем и расшифровывал). Здесь остается тоже проблема со случайной загрузкой недоверенной ОС и модификацией/подменой кода загрузчика. В этом случае тебя может спасти Secure Boot, а лучше всего - верификация загрузчика coreboot. Но и это тебя может не спасти от модификации самой прошивки BIOS. Только аппартный лок на запись флешки с BIOS. Или аппаратный лок на запись флешки с загрузчиком (это проще, но остается опасность подмены кода BIOS).
  3. В конце-концов, вводить парольную фразу вручную :)

Задавай свои вопросы.

Исходная версия Chaser_Andrey, :

Слишком много флуда в этой теме.

И так.

Как сделать так что бы при выборе определённого пункта в grub, флешка отключалась и ОС не могла бы её включить?

Похоже, что никак? ОС имеет полный доступ к устройствам. Если что-то можно программно выключить, то можно и программно переинициализировать. Это если мы рассматриваем все возможные атаки.

Разве что вставлять между флешкой и компьютером самодельный USB-контроллер, который можно специальной командой аппаратно выключить, а включать нужно физически (например, обычное реле с пружинкой, которое размыкается программно, но замкнуть его можно только уже физическим усилием).

Я лишь могу тебе порекомендовать три способа:

  1. Втыкать флешку только при загрузке, и убирать обратно. Но это не решает проблемы со случайной загрузкой недоверенной ОС.
  2. Усложнить схему. На отдельную флешку закинуть ключ, на первичной флешке оставить только загрузчик. Флешку с ключем вставлять только когда уже запрашивается пароль на расшифровку (можно настроить udev в initramfs, чтобы он автоматом определял наличие флешки с ключем и расшифровывал). Здесь остается тоже проблема со случайной загрузкой недоверенной ОС и модификацией/подменой кода загрузчика. В этом случае тебя может спасти Secure Boot, а лучше всего - верификация загрузчика coreboot. Но и это тебя может не спасти от модификации самой прошивки BIOS. Только аппартный лок на запись флешки с BIOS. Или аппаратный лок на запись флешки с загрузчиком (это проще).
  3. В конец-концов, вводить парольную фразу вручную :)

Задавай свои вопросы.