フルディスク暗号化を使用するときに/ bootの変更を検出する
Dm-cryptを使用して完全に暗号化されたLinuxシステムを実行している場合、私の知る限り、/bootパーティションは暗号化されていない状態で起動する必要があります。 initrdから実行されている起動前のsshサーバーに接続することで、リモートでロックを解除できるサーバーをセットアップしました。
終了したい1つの攻撃方法は、キーロガーをinitrdにインストールすることです。
私はこのように推論しました。ホストされた環境で敵がそれにアクセスできるため、/bootパーティションへの変更を防ぐことはできません。しかし、単純なsha512sumまたはtripwireを使用して、暗号化されたシステム内からチェックサムを使用して変更を検出できます。また、サーバーの再起動を監視することもできます(変更を示す場合があります)。
どのような緩和方法が思い浮かびますか?
これはまさに Secure Boot が解決するために作成された問題です。問題は、POSTまでさかのぼる信頼の連鎖がない場合、改ざんされていないことを保証できないことです。 (そしてそれでも、「保証」は誇張です)。
起動時にブートパーティションをチェックサムできます。おそらくチェックサムを次のステップのキーの一部として使用します。完全に改ざん防止されているわけではありませんが、ハードウェアベースの暗号化統合がなければ何も起こりません。持っているツールで最善を尽くし、制限を確実に理解してください。