Il modo migliore per rendere un antimanomissione di installazione Linux

0

Buongiorno, sto pianificando un ambiente in cui si corre il maggior rischio per la sicurezza di avviare un altro ambiente e manomettere l'installazione sul disco (vecchi PC con accesso fisico alla scatola accessibili al pubblico ). Dal momento che le password del BIOS offrono un piccolo deterrente e il PC non ha il TPM a mio avviso, cosa consiglieresti di rendere l'installazione a prova di manomissione? Attualmente sto pensando alla crittografia a dispositivo a blocco completo (LUKS) che include la cartella / boot - dovrebbe essere sufficiente? In questo modo, anche se sei in grado di eseguire il boot su un altro dispositivo, il disco di installazione non dovrebbe essere un problema, giusto? Grazie in anticipo

EDIT: Giusto per chiarire, i PC sono sotto sorveglianza e in armadietti - quindi attaccare un keylogger hardware non passerà facilmente inosservato. Avvio da una porta USB e manomissione dell'installazione: questo è il grosso problema. Gli attacchi avanzati come la modifica al firmware BIOS / UEFI probabilmente non accadrà (ambiente scolastico) - i keylogger del software sono la grande preoccupazione.

EDIT2: ulteriori chiarimenti - i PC sono in un cabinet come questo:
    ------------
    | PC desktop     ------------

Con la parte superiore coperta. Le tastiere sono collegate sul retro, quindi per accedere alla tastiera USB dovresti rimuovere l'intero desktop dal cabinet. La sorveglianza non è costantemente monitorata, ma se si dovesse trovare un keylogger (o una violazione della sicurezza) sarebbe molto facile vedere dove e quando è successo (l'identificazione non è un problema dato che è un ambiente scolastico, come per il calibro degli attacchi avanzati degli attaccanti non dovrebbe essere un problema, più probabilmente è il keylogger casuale e l'installazione di modifica). Poiché la sorveglianza non è nella misura in cui l'attività sullo schermo può essere monitorata, l'avvio in un altro ambiente e il lavoro possono passare facilmente inosservati. L'ambiente proposto è un'installazione Linux che esegue una VM Windows non persistente, quindi un exploit del SO non dovrebbe essere un problema all'interno di Windows e l'installazione di Linux eseguirà un utente non privilegiato, quindi il danno è limitato a quasi nulla. Ma, se il Linux installato può essere manomesso prima dell'avvio, tutto andrà al diavolo. Questo è il motivo per cui vedo come impedire il manomissione dell'installazione di Linux come il problema più grande.

    
posta Cube777 14.05.2016 - 13:00
fonte

2 risposte

2

Probabilmente non è possibile rendere questo sistema a prova di manomissione, al massimo si può fare a un livello di resistenza alla manomissione. La crittografia completa del disco è un buon metodo e forse anche il meglio che si possa ottenere con l'hardware del PC disponibile in commercio.

Tuttavia, la crittografia del disco non aiuta nei confronti dei key logger hardware semplici che possono essere utilizzati per ottenere la password del disco. Più avanzate ma possibili sono la modifica del firmware, ovvero BIOS / UEFI, disco, scheda di rete, scheda grafica, Intel SMM . ..

In breve, non è possibile costruire un grattacielo (ad esempio a prova di manomissione) in una palude (PC off-the-shelf).

Modifica: in base agli aggiornamenti della domanda sembra che tutto ciò che deve essere fatto sia quello di assicurarsi che il sistema avvii solo il Linux installato senza argomenti specificati dall'utente (cioè non init=/bin/bash ). Questo può essere fatto limitando il supporto di avvio nel BIOS, proteggendo il BIOS con una password e proteggendo il boot loader di Linux (grub) con una password . La crittografia del disco non aiuterà qui e in effetti ostacola l'avvio non presidiato dei sistemi che è probabilmente richiesto in questo ambiente.     
risposta data 14.05.2016 - 14:23
fonte
0

se nessun servizio ha bisogno di memorizzare i dati, potresti creare un disco di sola lettura. ma se le persone hanno accesso fisico alla macchina, sei praticamente fregato.

    
risposta data 14.05.2016 - 14:26
fonte

Leggi altre domande sui tag