Альтернатива, для secure boot

Купить подходящий АПМДЗ.

Во время монтирования уже поздно что-то проверять. Ядро уже запущено и комп полностью под его властью.

Вся суть secure boot в проверке ядра до его запуска, делать это можно только из биоса.

Забыл добавить, что диски зашифрованы. Т.е в этот момент ядро еще не может ничего вредного сделать с важными данными

Какой наивный. Если у тебя на компе запущено что-то вредоносное то он уже не под твоим контролем. Никаких предупреждений или тем более других средств защиты ты предпринять не сможешь, если вредоносная программа достаточно продумана. Максимум, что ты сможешь - это не дать компу пароль от шифра, но поскольку вредоносное ядро тебе естественно скажет, что оно хорошее - ты никак не узнаешь что его не стоит вводить.

Так в TPM могут находиться данные, которые должен использовать initramfs, чтобы доказать, что система не скомпрометирована.

Повторяю, если ты УЖЕ запустил скомпрометированное ядро или initramfs - что бы то ни было проверять уже поздно. Оно уже запущено и ничего никому не должно доказывать.

С точки зрения правильной безопасности - никак.

С точки зрения того, чтобы сделать задачу - считай хеш от ядра, initramfs, выводи пользователю предложение обновить данные в tpm, если они отличаются, считывай в initramfs ключ из TPM и дешифруй им диск. По сути у тебя tpm будет как флешка. Понятно, что к безопасности это отношения имеет достаточно далёкое.

Сам написал и сам же обосрал. Зачем?

Любое внешнее устройство, которое может посчитать и проверить нужный хеш и которое неподвластно ядру, даст нужное знание, стоит продолжать или нет.

Любой бог безопасности способен ответить на молитвы ТС и благословит его на загрузку абы какого initramfs. Но так как нет ни богов безопасности, ни «такого устройства» у ТС, оба наших утверждения бессмысленны.

Привет, подскажите как лучше реализовать альтернативу secure boot’у

Альтернативу сделать не получится.

Достаточно просто сообщить юзеру, что загружено валидное/невалидное ядро или initramfs во время монтирования зашифрованных дисков.

есть TPM 2.0

Можете использовать удалённую аттестацию машины с помощью TPM. https://crypto.stackexchange.com/questions/59965/tpm-and-remote-attestation

Делаешь live USB, втыкаешь его, загружаешся, проверяешь хеш ядра и initramfs. Этот процесс можно автоматизировать, главное, чтобы флешка во время работы была вытыкнута и спрятана

Делаешь live USB, втыкаешь его, загружаешся, проверяешь хеш ядра и initramfs. Этот процесс можно автоматизировать, главное, чтобы флешка во время работы была вытыкнута и спрятана

CD-ROM не лучше ли?

Флэшку ты от записи никак не защитишь, даже с переключателем RW/RO, SD карту тоже, драйвер тупо игнорит его состояние.

И толку от этой хрени без ROM BIOS?

RootKit Win&Linux через биос (комментарий)

Важный вопрос о сокете FM2+ (комментарий)

https://electronics.stackexchange.com/questions/428764/how-to-hardware-write-...

https://pastebin.com/rZ9h2eX6

А кто знает рецепт по определению минимально необходимого набора дров, и сборке монолитного ядра без модульной подгрузки новых дров? Т.е. чтобы все по пунктам, подробно.

Про дрова в gentoo handbook написано. У всех по разному. Я читал документацию, включал нужные модули (там можно их встроить прямо в ядро), перезагружался и так по кругу.

Тут идея в том, что ты этот livecd/liveusb надежно физически хранишь. Либо с собой таскаешь. И ты уверен, что никто его не стащил и не подменил. Это проще, чем так же хранить ПК/ноутбук

Тут идея в том, что ты этот livecd/liveusb надежно физически хранишь. Либо с собой таскаешь. И ты уверен, что никто его не стащил и не подменил. Это проще, чем так же хранить ПК/ноутбук

Подменить можно сам привод, системник или ноут, его прошивку и т.п.

Поэтому как вариант заклеить трей эпоксидкой, сфотографировать привод на предмет оригинальности (серийник, царапины, потертости и т.п.), поместить привод в сейф, замуровать в стену :)

Но для начала надо научиться защищать все прошивки компа, включая бивис и ессно привода CD-ROM тоже. Т.е. нужно каким-то образом поменять все чипы флэшром на колодки, куда установить настоящие ROM чипы (и заклеить чипы в колодках эпоксидкой, LOL).

Про дрова в gentoo handbook написано. У всех по разному. Я читал документацию, включал нужные модули (там можно их встроить прямо в ядро), перезагружался и так по кругу.

Не проще сначала заблэклистить максимум дров на обычном ядре для тестов?