SuperDialga's questions

Estou tentando atualizar o GRUB 2.06 para 2.12 em uma máquina Ubuntu 22.04.4 LTS, seguindo as instruções no arquivo de texto INSTALL incluído no tarball (e na parte inferior da postagem). Lendo os pré-requisitos (incluídos abaixo), vejo que preciso de libdevmapper 1.02.34. Parece que não tenho esse arquivo, considerando mais tarde, quando executo ./configure, ./configurea saída de termina com:

*******************************************************
GRUB2 will be compiled with following components:
Platform: i386-pc
With devmapper support: No (need libdevmapper header)
With memory debugging: No
With disk cache statistics: No
With boot time statistics: No
efiemu runtime: Yes
grub-mkfont: No (need freetype2 library)
grub-mount: No (need fuse or fuse3 libraries)
starfield theme: No (No build-time grub-mkfont)
With libzfs support: No (need zfs library)
Build-time grub-mkfont: No (need freetype2 library)
Without unifont (no build-time grub-mkfont)
Without liblzma (no support for XZ-compressed mips images) (need lzma library)
With stack smashing protector: No
*******************************************************

Como obtenho uma cópia do libdevmapper 1.02.34 or later?

Conteúdo parcial de INSTALL:

The Requirements
================

GRUB depends on some software packages installed into your system. If
you don't have any of them, please obtain and install them before
configuring the GRUB.

* GCC 5.1.0 or later
  Experimental support for clang 8.0.0 or later (results in much bigger binaries)
  for i386, x86_64, arm (including thumb), arm64, mips(el), powerpc, sparc64
* GNU Make
* GNU Bison 2.3 or later
* GNU gettext
* GNU binutils 2.9.1.0.23 or later
* Flex 2.5.35 or later
* pkg-config
* GNU patch
* Other standard GNU/Unix tools
* a libc with large file support (e.g. glibc 2.1 or later)

On GNU/Linux, you also need:

 * libdevmapper 1.02.34 or later (recommended)


...more content that I have cut out...


Building the GRUB
=================

The simplest way to compile this package is:

  1. `cd' to the directory containing the package's source code.

  2. Skip this and following step if you use release tarball and proceed to
     step 4. If you want translations type `./linguas.sh'.
  
  3. Type `./bootstrap'.

     The autogen.sh (called by bootstrap) uses python. By default autodetect
     it, but it can be overridden by setting the PYTHON variable.

  4. Type `./configure' to configure the package for your system.
     If you're using `csh' on an old version of System V, you might
     need to type `sh ./configure' instead to prevent `csh' from trying
     to execute `configure' itself.

     Running `configure' takes awhile.  While running, it prints some
     messages telling which features it is checking for.

  6. Type `make' to compile the package.

  7. Optionally, type `make check' to run any self-tests that come with
     the package. Note that many of the tests require root privileges in
     order to run.

  8. Type `make install' to install the programs and any data files and
     documentation.

  9. Type `make html' or `make pdf' to generate the html or pdf
     documentation.  Note, these are not built by default.

 10. You can remove the program binaries and object files from the
     source code directory by typing `make clean'.  To also remove the
     files that `configure' created (so you can compile the package for
     a different kind of computer), type `make distclean'.  There is
     also a `make maintainer-clean' target, but that is intended mainly
     for the package's developers.  If you use it, you may have to get
     all sorts of other programs in order to regenerate files that came
     with the distribution.

Estou seguindo o guia do desenvolvedor Debian para criptografia completa de disco . Atualmente estou na Seção 4, etapa 3 – edição /etc/crypttab.

No guia, na seção 3 eles configuraram o keylot 0 para outra coisa e agora na seção 4 estão configurando o keylot 1.

No entanto, durante minha configuração, a seção 3 foi padronizada para o slot de chave 1 e, portanto, para a seção 4, precisarei usar o slot de chave 0, adicionando isto ao meu /etc/crypttab:

root_crypt UUID=... /etc/keys/root.key luks,discard,key-slot=0(o guia está key-slot=1aqui)

Eu penso. Preocupo-me com a possibilidade de estar errado, coloquei key-slot=0quando deveria ter colocado key-slot=1, então LUKS olha para o slot errado para descriptografia, falha na descriptografia devido à senha errada e não pode continuar. E como tudo está criptografado, não consigo consertar com um sistema operacional ativo.

Então, minha pergunta é: a key-slot=opção faz com que o LUKS tente apenas esse slot de chave ou tente esse slot de chave primeiro e, se falhar, tente os outros? Supondo que estou errado e coloquei key-slot=0quando deveria ter colocado key-slot=1, o LUKS tentará o slot 0, falhará, depois tentará o slot 1 e terá sucesso?

Eu li a página de manual do /etc/crypttab e não encontrei nada além de uma referência a cryptsetup -S, mas não consigo encontrar a página de manual que descreve esta opção. Só consigo encontrar uma página no cryptsetup, que não inclui a opção -S.

Muito obrigado!

Estou seguindo o guia do desenvolvedor Debian para criptografia completa de disco para proteger uma máquina Ubuntu e estou confuso na seção 3. Ele afirma:

Nota: o cryptomount não possui uma opção para especificar o índice do slot de chave a ser aberto. Todos os slots de chave ativos são testados sequencialmente até que uma correspondência seja encontrada. A execução do algoritmo PBKDF é uma operação lenta, portanto, para acelerar as coisas, você desejará que o slot de chave desbloqueado no estágio GRUB seja o primeiro ativo. Execute o seguinte comando para descobrir seu índice.

root@debian:~# cryptsetup luksOpen --test-passphrase --verbose /dev/sda5
Enter passphrase for /dev/sda5:
Key slot 0 unlocked.
Command successful.

E esse é o fim da seção. Parece que ainda não terminamos? Ok, encontramos o índice (no meu caso é 1, não 0), e agora? Como "[definimos] o slot de chave para desbloquear no estágio GRUB para ser o primeiro ativo", como diz o guia? Parece que o guia termina cedo.

Obrigado!

Meu sistema possui criptografia completa de disco, exceto /boot. Eu defini uma senha do GRUB seguindo esta postagem , mas consegui desativá-la inicializando no Kali Live e executando:

mkdir /mnt/dev/sda2
sudo mount /dev/sda2 /mnt/dev/sda2
sudo vim /mnt/dev/sda2/grub/grub.cfg

3 comandos. Mole-mole.

Um usuário só verá o menu GRUB ou será solicitado a inserir uma senha do GRUB se tiver acesso físico à máquina (certo?). Se tiverem acesso físico, poderão desabilitar o GRUB. Se um usuário não tiver acesso ao GRUB (ou seja, ele se conecta via ssh ou esta é uma VM (porque o ssh só inicia após o GRUB terminar, certo?)), então ele nunca será interrompido por ele.

Portanto, parece que na única situação em que uma senha do GRUB é usada, ela também é facilmente ignorada. Se uma senha do GRUB impedir alguém, ele poderá desativá-la.

Então, qual é o objetivo? As senhas do GRUB são tão inúteis quanto eu penso? Eles aumentam a segurança de alguma outra forma? E se incluirmos a criptografia /boot na mistura? Isso melhora as coisas?

Obrigado!

Eu li este post sobre como exigir apenas a senha do GRUB quando você tenta editar as configurações do GRUB, ainda permitindo a inicialização no sistema operacional sem uma senha. A única solução que encontrei foi editar o arquivo /etc/grub.d/10_linux. O problema é que, conforme descrito na seção 6.1 deste wiki , /etc/grub.d/10_linuxserá substituído quando o grub for atualizado, o que irá quebrar isso. No entanto, eles não oferecem uma alternativa. Então... o que fazemos em vez disso? Qual é o melhor método para evitar essa falha em uma atualização do grub?

Esta é mais uma questão educacional e de curiosidade, em vez de tentar resolver um problema. Eu tenho um sistema Ubuntu usando LUKS. lsblk mostra isso:

Notavelmente, / é criptografado, mas /boot e /boot/efi não são. Isso é importante porque o LUKS precisa que /boot não seja criptografado para inicializar o GRUB.

Mas... / contém /boot. Portanto, parece que se / estiver criptografado, isso forçaria /boot a ser também. Afinal, como você saberia onde /boot começa no disco, já que o ponteiro de / para /boot é criptografado? (eu assumo)

Obrigado!