 fox
II/IDEC networks :: habra.16 :: / [Из песочницы] Используем Secure Boot в Linux на всю катушку
|
Login |
[#]
[Из песочницы] Используем Secure Boot в Linux на всю катушку
habrabot(difrex,1) — All
2016-08-18 14:30:03
![][1]
Технология Secure Boot нацелена на предотвращение исполнения недоверенного кода при загрузке операционной системы, то есть защиту от буткитов и атак типа Evil Maid. Устройства с Secure Boot содержат в энергонезависимой памяти базу данных открытых ключей, которыми проверяются подписи загружаемых UEFI-приложений вроде загрузчиков ОС и драйверов. Приложения, подписанные доверенным ключом и с правильной контрольной суммой, допускаются к загрузке, остальные блокируются.
Более подробно о Secure Boot можно узнать из цикла статей от [CodeRush][2].
* [О безопасности UEFI, часть пятая][3]
* [Укрощаем UEFI SecureBoot][4]
Чтобы Secure Boot обеспечивал безопасность, подписываемые приложения должны соблюдать некоторый «кодекс чести»: не иметь в себе лазеек для неограниченного доступа к системе и параметрам Secure Boot, а также требовать того же от загружаемых ими приложений. Если подписанное приложение предоставляет возможность недобросовестного использования напрямую или путём загрузки других приложений, оно становится угрозой безопасности всех пользователей, доверяющих этому приложению. **Такую угрозу представляют загрузчик shim, подписываемый Microsoft, и загружаемый им GRUB**.
Чтобы от этого защититься, мы [установим][5] Ubuntu с шифрованием всего диска на базе LUKS и LVM, защитим initramfs от изменений, [объединив][6] его с ядром в одно UEFI-приложение, и [подпишем][7] его собственными ключами.
[Читать дальше →][8]
[1]: https://habrastorage.org/files/255/553/3ff/2555533ffb374565aed2eec1951e90c4.png
[2]: https://habrahabr.ru/users/coderush/
[3]: https://habrahabr.ru/post/267953/
[4]: https://habrahabr.ru/post/273497/
[5]: #install
[6]: #protect
[7]: #sign
[8]: https://habrahabr.ru/post/308032/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-08-18 14:30:03
![][1]
Технология Secure Boot нацелена на предотвращение исполнения недоверенного кода при загрузке операционной системы, то есть защиту от буткитов и атак типа Evil Maid. Устройства с Secure Boot содержат в энергонезависимой памяти базу данных открытых ключей, которыми проверяются подписи загружаемых UEFI-приложений вроде загрузчиков ОС и драйверов. Приложения, подписанные доверенным ключом и с правильной контрольной суммой, допускаются к загрузке, остальные блокируются.
Более подробно о Secure Boot можно узнать из цикла статей от [CodeRush][2].
* [О безопасности UEFI, часть пятая][3]
* [Укрощаем UEFI SecureBoot][4]
Чтобы Secure Boot обеспечивал безопасность, подписываемые приложения должны соблюдать некоторый «кодекс чести»: не иметь в себе лазеек для неограниченного доступа к системе и параметрам Secure Boot, а также требовать того же от загружаемых ими приложений. Если подписанное приложение предоставляет возможность недобросовестного использования напрямую или путём загрузки других приложений, оно становится угрозой безопасности всех пользователей, доверяющих этому приложению. **Такую угрозу представляют загрузчик shim, подписываемый Microsoft, и загружаемый им GRUB**.
Чтобы от этого защититься, мы [установим][5] Ubuntu с шифрованием всего диска на базе LUKS и LVM, защитим initramfs от изменений, [объединив][6] его с ядром в одно UEFI-приложение, и [подпишем][7] его собственными ключами.
[Читать дальше →][8]
[1]: https://habrastorage.org/files/255/553/3ff/2555533ffb374565aed2eec1951e90c4.png
[2]: https://habrahabr.ru/users/coderush/
[3]: https://habrahabr.ru/post/267953/
[4]: https://habrahabr.ru/post/273497/
[5]: #install
[6]: #protect
[7]: #sign
[8]: https://habrahabr.ru/post/308032/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut