Grub-Boot-Loader anpassen

Geheimnisträger

\pardFügen Sie der Datei /boot/grub/menu.lst
den folgenden Eintrag hinzu:
title CentOS-4 i686 (Encrypted)
root (hd0,0)
kernel /vmlinuz-2.6.9-
Encrypted ro root=100
init=/linuxrc rootfstype=minix
initrd /initrd.gz

Lassen Sie sich nicht verwirren, der root=Eintrag ist korrekt und steht für eine RAMDisk namens /dev/ram0, auf der unsere spezielle initrd-Datei abgebildet wird

Starten mit Live-CD
Zum Start der Verschlüsselung Ihrer Root-Partition booten Sie das System mit einer Live-CD. Verwenden Sie beispielsweise die
Installations-DVD von CentOS, geben Sie einfach das Kommando

linux rescue

beim Bootprompt ein. Nach dem Booten binden Sie zunächst die Root-Partition ein:

mkdir /mnt2
mount -t ext2 /dev/hda2 /mnt

Da CentOS auf udev basiert und die Devices auf /dev erst während des Bootens erstellt, müssen Sie per Hand nachhelfen:

mknod /mnt2/dev/console c 5 1
mknod /mnt2/dev/null c 1 3
mknod /mnt2/dev/zero c 1 5

Nachdem die entsprechenden Einträge angelegt sind, hängen Sie die Partition mit folgenden Befehlen wieder aus:

umount /mnt2
sync

Jetzt wird die /boot-Partition eingeklinkt. In diesem Fall genügt der reine Lesezugriff, was Sie mit folgendem Befehl erreichen:

mount -r -t ext2 /dev/hda1
/mnt2

Es folgt die Verschlüsselung der Root- Partition mit AESpipe:

dd if=/dev/hda2 bs=64k |
/mnt2/aespipe -e AES128 -K
/boot/rootkey.gpg -G / | dd
of=/dev/hda2 bs=64k conv=
notrunc

Vorsicht: Achten Sie bei diesem Befehl sehr genau auf die Syntax ? ein Tippfehler bedeutet den Verlust Ihrer Root-Partition und erfordert die Wiederholung der Konfiguration. Je nach Größe der Root-Partition und Prozessorleistung dauert die Verschlüsselung bis zu mehreren Stunden. Anschließend hängen Sie mit den Befehlen

umount /mnt2
sync

die Root-Partition aus und starten das System neu. Nachdem die initrd geladen wurde, erscheint die Frage:

Encrypted File System, please supply correct password to continue
Password:

Geben Sie hier die zuvor definierte Passphrase ein ? einen anderenWeg,
um auf die verschlüsselte Root-Partition zuzugreifen, gibt es ab sofort nicht mehr.

Fazit
Der Einsatz von AESloop garantiert Ihnen, dass Unbefugte auf die geschützten Partitionen keinen Zugriff erhalten. Die hier dargestellte Anleitung funktioniert mit CentOS 4.3 problemlos. Allerdings sind weitere Anpassungen am System wünschenswert: Eine Routine, die eine Prüfsumme der /boot-Partition überwacht, sollte unbedingt integriert werden, um eine bösartige Modifikation dieser unverschlüsselten Partition zu melden. Die Syntax

md5sum /dev/hda1

liefert eine entsprechende Prüfsumme. Um SELinux weiterhin in der Targeted Policy zu verwenden, sind Anpassungen am System notwendig, die den Rahmen dieses Beitrages sprengen. Zum Schluss sollten Sie Scripts wie /etc/rc.sysinit anpassen und Einträge wie

umount /initrd

ausklammern, die während des Bootvorgangs der verschlüsselten Partition zu (unkritischen) Fehlermeldungen führen.