Instalación del sistema (ejercicio de seguridad) TOCHO

Tengo que entregar un ejercicio sobre seguridad y riesgos en un portátil

Bueno la instalación ha salido a la perfección gracias a la extensa guía de Sakaki's EFI Install Guide pero creo que podía añadir algo mas de seguridad.

La instalación cuenta con:

Sistema cifrado LUKS, LVM donde esta la única partición root, swap, home sin grub, con una BOOT usb key (para que me entiendas el arranque se hace desde pen )

La llave usb lleva cifrado aleatorio de claves con GPG (utilizando una frase de contraseña escrita) que se almacena en el pen para añadir un doble factor de seguridad por si es robado.... como el portátil cuenta con Windows, puede ser expiado por un malware o keylogger. Entonces la llave es ideal porque solo se enchufara cuando arranquemos el portátil, y no cuando corra Windows por si las moscas.... (hasta aquí me ido fenomenal la guía porque hace lo que yo buscaba)

El disco SSD a sido llenado con datos aleatorios con el comando DD para que les sea mas difícil recuperar un dato, luego el cifrado es serpent-xts-plain64 y hash whirlpool con key 512

Luego en la guia hace un backup por si las moscas

Si el encabezado LUKS se daña, sus datos cifrados se perderán para siempre, incluso si tiene una copia de seguridad de la clave GPG y la frase de contraseña. Por lo tanto, puede considerar hacer una copia de seguridad de este encabezado en un dispositivo separado y almacenarlo de forma segura. Consulte las preguntas frecuentes de LUKS para obtener más detalles sobre cómo hacer esto.


Luego revisión de las firmas de la stage3 de instalación de Gentoo que seria el archivo comprimido donde esta el sistema de Gentoo.

Una vez terminada la instalación he instalado plasma desktop he añadido un poco mas de seguridad utilizando el SECURE BOOT (por si las moscas) siguiendo varias guías del desarollador, de la wiki de Arch y Gentoo he conseguido crear los PK, KEK, db y dbx para crearme un EFI que gracias a mi placa base se pueden añadir y extraer con un pen. Luego he compilado el kernel con las firmas efi y el genkernel y probado que arranca con el SECURE BOOT puesto con mis firmas. Pero Windows no me arrancaba hasta que encontrado el error he estado 2 putas horas buscando como era y ha sido mas cagada mía porque no los añadía bien a la bios del pc.

Y por ultimo es ponerle una contraseña a la bios.

Ahora pensando a lo mejor tenia que ponerle una versión con Hardened pero ahí ya me pierdo.

Añadirías algo mas?
0 respuestas