Linux, NetBSD, ecc. possono essere installati con LUKS, quindi oltre a / boot, tutti gli altri FS saranno crittografati. Probabilmente il kernel deve essere avviato prima che il prompt della password arrivi all'utente. La password LUKS
La mia domanda: ha senso cambiare la password LUKS ogni 90 giorni?
(Voglio dire, come può un utente malintenzionato ottenere la password LUKS? se è con una Evil Maid .. allora è già persa da quando l'autore dell'attacco ha avuto accesso al kernel.)
La rotazione della password dipende molto dall'uso e dall'esposizione. Se la macchina è sempre attiva e la password viene sempre utilizzata solo durante un riavvio mensile, la rotazione della password dopo ogni 3 ° utilizzo non ha un senso.
Invece di pensare in termini di tempo , pensa alla rotazione della password in termini di rischio . Con quale frequenza usi la password, su quante macchine digiti la tua password, in quale tipo di ambiente la digiti (ad esempio in un aeroporto, in un bar o forse solo in una sala server), quante persone conosci la password, ecc.
Se più di una persona ha accesso alla password, è necessario ruotarla regolarmente come ovvio. La rotazione diminuisce l'esposizione se la password viene mai rivelata inavvertitamente; e più persone lo vedono, più è probabile che lo si rivelerà (intenzionalmente o meno). La modifica della password revoca immediatamente l'accesso da chiunque non debba avere accesso (supponendo che non abbia installato una sorta di porta sul retro).
Ma soprattutto, sempre, sempre, sempre cambia una password quando qualcuno lo ha che non dovrebbe (o che non ne ha più bisogno).
Il tuo rischio non sarà mai pari a zero e non c'è alcun problema che la modifica della password possa essere risolta. Ma molte volte ho visto casi in cui la stessa password è stata in uso controllando una risorsa per anni , non importa chi viene e se ne va. Ho visto le attività affondate perché una password è stata data a un appaltatore 3 anni prima, che ha salvato quella password su un personal computer che da allora è stato compromesso dagli aggressori.
Non hai bisogno di politiche di rotazione delle password rigide, cieche e insensate per essere sicuro. Ma devi essere consapevole del rischio rappresentato da una determinata password.
Beh, dipende. Se un utente malintenzionato ha avuto una volta accesso al volume crittografato LUKS, la rotazione della password oltre quell'incidente è inutile. Questo perché l'autore dell'attacco potrebbe aver eseguito un backup dell'intestazione LUKS, che contiene tutte le informazioni necessarie per decrittografare il volume LUKS, a condizione che sia nota una passphrase. Consulta le Domande frequenti su cryptsetup per ulteriori informazioni.
Leggi altre domande sui tag luks