Индекс форумов |
Исходное сообщение |
---|
"Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI..." Отправлено Арчевод, 03-Мрт-21 18:16 |
Как уже сказали выше, efi раздел всё-равно остаётся незашифрованным. Так что правильным подходом будет зашифровать всё, оставив только efi partition. Дальше, используем такую штуку как Unified Kernel Image ( https://wiki.archlinux.org/index.php/Systemd-boot#Preparing_... ), которая позволяет запаковать ядро, initramfs, splash, коммандную строку ядра в один файл, который напрямут загружается через из EFI или посредством загрузчика типа refind. Ну и ествественно этот бинарь подписывается своим ключём, который сконфигурен в SecureBoot. Собственно всё - получаем полностью зашифрованную систему + SecureBoot с только одним незашифрованным, но подписанным файлом, в котором собственно нет никаких секретов. Понятное дело, что так как он подписан, изменить или подменить его не выйдет. Создание образа и его подписка делается автоматически при обновлении ядра или вручную, после, например, изменения командной строки ядра. |
При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования. |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |