Когда происходят изменения в разделах EFI и BOOT

[Skyfox1st]

Здравствуйте!

Совсем недавно установил Ubuntu 18.04.1 (моё первое знакомство с Linux) и активно её изучаю.
К сожалению, ответов на некоторые вопросы я найти не могу, поэтому обращаюсь к вам.

Экспериментирую с полным шифрованием диска и имею следующее:

1) Ноутбук с UEFI.
2) Жёсткий диск с полным шифрованием, на нём стоит система.
3) Разделы EFI (fat32) и BOOT (ext4) вынесены на флешку.
4) Через команду "dd" создал клон флешки на другую флешку.
5) На флешках нет индикатора чтения/записи и я не могу знать, когда они используются.

Теперь если вставить флешку (любую из двух) система запускается, ввожу кодовую фразу и загрузка, а если флешка не вставлена, то никакой загрузки.

А теперь вопросы касательно записи/чтения разделов EFI (fat32) и BOOT (ext4) при разных сценариях использования:

1) Можно ли флешку вытащить после загрузки системы?
2) Нужно ли подключать флешку при завершении работы системы?
3) Требуется ли подключать флешку при переходе в сон без гибернации и/или при выходе из сна?
4) При каких других сценариях ведётся запись/чтение данных в этих разделов кроме первого включения системы?

Планирую использовать только 1 флешку, а запасная будет лежать неподалёку.
Если будет происходить изменение данных на 1-ой флешке, вторую нужно будет переклонировать, чтобы она оставалась рабочей.

5) Когда происходят эти изменения, чтобы вовремя перезаписать клона?

Буду очень признателен за любую информацию, даже за частичную. =)

[bezbo]

Skyfox1st, боюсь даже спросить, а зачем вам такие извращения с EFI и BOOTом?

[Skyfox1st]

Skyfox1st, боюсь даже спросить, а зачем вам такие извращения с EFI и BOOTом?

Т.к. диск полностью зашифрован, то эти разделы потребовалось вынести за его пределы.
Причина клонирования флешки в том, что может возникнуть ситуация, что информация с диска нужна прямо здесь и сейчас, а флешка сломалась и восстановление этих разделов займёт время.
И тут на помощь приходит запасная флешка, но она должна быть в актуальном состоянии, поэтому хочу узнать, когда происходят изменения в этих разделах, чтобы поддерживать запасную флешку в актуальном состоянии и вовремя её переклонировать.
На рабочей машине возможно и не буду использовать такой сценарий, но очень хотелось бы узнать побольше информации о том, как устроены эти разделы. =)

[bezbo]

диск полностью зашифрован

еще более страшный вопрос, а отщипнуть у зашифрованного диска часть пространства нельзя?

[DimanBG]

Причина клонирования флешки в том, что может возникнуть ситуация, что информация с диска нужна прямо здесь и сейчас, а флешка сломалась и восстановление этих разделов займёт время.

А если флешка исправна, а диск начал сыпаться там где системные файлы?
Вообще в современных ноутах с УЕФИ есть аппаратное шифрование диска. И никакие костыли с флешками не нужны.
И вполне достаточно установить пароль на вход в УЕФИ, чтобы с Лайф никто не мог загрузится и пароль на ГРУБ, дальше штатной защиты хватит.

1) Можно ли флешку вытащить после загрузки системы?

Возьми да вытащи.

2) Нужно ли подключать флешку при завершении работы системы?

Проверь.

3) Требуется ли подключать флешку при переходе в сон без гибернации и/или при выходе из сна?

Проверь.

4) При каких других сценариях ведётся запись/чтение данных в этих разделов кроме первого включения системы?

При обновлениях ядра, его установки-удалении. При установке, удалении, обновлении ГРУБ.

[Skyfox1st]

А если флешка исправна, а диск начал сыпаться там где системные файлы?
Вообще в современных ноутах с УЕФИ есть аппаратное шифрование диска. И никакие костыли с флешками не нужны.
И вполне достаточно установить пароль на вход в УЕФИ, чтобы с Лайф никто не мог загрузится и пароль на ГРУБ, дальше штатной защиты хватит.

Я изучал этот способ защиты и считаю, что несанкционированное проникновение становится лишь немного сложнее, чем обход пароля учётной записи при входе в Windows, но по силам любому, кто умеет пользоваться Google. =(

На сайте Dell (у меня продукция их фирмы) есть даже подробная инструкция по обходу такой защиты:

1) При появлении запроса пароля введите пароль жесткого диска или BIOS, который мог быть установлен на компьютере.
2) При неудачной попытке появится сообщение об ошибке.
3) Свяжитесь с Dell для получения кода разблокировки пароля.

Затем достаточно предоставить право владение устройством и другие подробности, а затем, цитирую: "Когда служба технической поддержки Dell предоставит главный пароль, вы должны ввести его при запросе, а затем нажать клавиши Ctrl + Enter, чтобы завершить процесс. Главный пароль жесткого диска автоматически очистит пароль жесткого диска".

Т.е. существует код, который может удалить пароль диска, о какой защите информации тогда мы говорим?

Проверь.

Проверил, всё работает, после загрузки системы можно вытаскивать флешку и спокойно ею пользоваться, даже при переходе и выходе из Сна она не требуется.
Попозже попробую накатить обновления безопасности, установить несколько проприетарных драйверов и проверить на работоспособность клона, который был создан сразу после установки системы и не обновлялся.
Есть предположения, что перезаписать запасную флешку придётся только в 2023 году, когда буду переходить на следующую LTS.

[The Green Side]

Не сразу понял: Учитывая, что новые ядра всё равно устанавливаются в /boot, наверное, это всё не актуально для Вас.

------------------------

Как вариант, если хочется как можно реже обновлять содержимое флешек, изучите вопрос ручного контроля над

Код: [Выделить]

/boot/grub/grub.cfg
Если коротко:
1) делаем скрипты, обновляющие груб, не исполняемыми

Код: [Выделить]

sudo chmod -x /etc/grub.d/*
sudo chmod -x /usr/sbin/update-grub
Возможно, есть ещё скрипты, я больше этим не пользуюсь, мог забыть. При обновлении ядра следите за сообщениями от apt.

2) В /boot/grub/grub.cfg добавляем новую menuentry, которая указывает не на конкретные ядра с версиями, а на симлинки к последним версиям.
изменить нужно эти строки:

Код: [Выделить]

linux   /vmlinuz
initrd  /initrd.img
не удаляйте ваши параметры, например UUID диска и другие, поменяйте только пути к этим 2м файлам на те, что я указал

3) опционально: чтобы упростить саму конструкцию файла и не зависеть от UUID дисков вообще, можно вообще загружать системы по ярлыкам дисков. Например, вот мой файл, строки 155-157

4) попробуйте загрузиться с новой menuentry, если с ней всё ок, можно её переносить на место загрузочной записи 0, а все остальные сносить. только аккуратно, в начале файла не зря стоит запись "не редактировать", одна опечатка - и система перестанет загружаться. лучше сделать бэкап. бэкап пригодится также, если со свежим ядром система перестанет загружаться, из бэкапа сможете взять старый формат grub.cfg для загрузки с другим ядром (только версию придётся подобрать).

Минусов много у такого метода, а плюс один: груб можно не обновлять никогда.

[bezbo]

о какой защите информации тогда мы говорим?

а что мешает с помощью ecryptfs зашифровать свой home и swap?

[DimanBG]

Затем достаточно предоставить право владение устройством и другие подробности

А если не предоставлять прав на владение устройством и других подробностей?

Т.е. существует код, который может удалить пароль диска, о какой защите информации тогда мы говорим?

О какой защите информации можно говорить, что если уж кому действительно нужно будет, тот просто применит к тебе метод термально-анального криптоанализа. И ты не то, что какой-то там пароль скажешь, а признаешься в организации и осуществлении убийства Джона Кеннеди и Улофа Пальме, хотя на то время тебя может ещё даже в проекте не было.
Данные шифровать ещё как-то понятно, но всё - это слишком.
Родители чтобы не видели что-ли? 

[Skyfox1st]

DimanBG, мне жаль, что полезной информации от Вас не было предоставлено, только пустая болтовня.

m-svo, благодарю за столь ценную информацию, Вы указали мне путь куда именно копать дальше.

bezbo, если честно, я даже не рассматривал такой метод, но идея интересная, стоит попробовать.

Всем спасибо за участие.