История изменений
Исправление torvn77, (текущая версия) :
То есть ты хочешь построить полностью «доверенную» систему.
тогда сначала найди:
1. плату с нормальным UEFI и возможно Secure Boot
2. загрузчик linux, который умеет хранить в своём загрузочном файле ключь для проверки подписи своего конфига.
3. Надёжную флешку под загрузочный и корневой раздел системы.
На флешке создаёшь два раздела:
1. EFI,
2. Раздел для директории /boot на котором будет лежать
. ядро,
. initrd с ключами шифрования корневого раздела
. конфиг загрузчика с чексуммами ядра и ini(GRUB это умеет)
. или средствами проверки их цифровой подписи.
. цифровая подпись для проверки целостности «конфига»
На диске создаёшь сам корневой раздел корневой раздел с ключами шифрования для остальных разделов системы.
Для загрузки вставляешь флешку в комп
1. EFI BIOS с первого раздела проверяет подпись первичного загрузчика, грузит и запускает его на выполнение.
2. Первичный загрузчик помещённой внутрь его подписью проверяет целостность своего конфига и полностью догружает нужные ему модули.
3. после ручного или автоматического выбора пары initrd+ядро проверяет их чексуммы, грузит их в ОЗУ и запускает на выполнение
4. Во время загрузки с помощью находящегося внутри inintrd ключа шифрования монтируется корневой раздел.
5. После перехода на корневой раздел остальные разделы монтируются как твоей криптодуше угодно.
Флешку с загрузочными и корневым разделом таскаешь с собой.
Исправление torvn77, :
То есть ты хочешь построить полностью «доверенную» систему.
тогда сначала найди:
1. плату с нормальным UEFI и возможно Secure Boot
2. загрузчик linux, который умеет хранить в своём загрузочном файле ключь для проверки подписи своего конфига.
3. Надёжную флешку под загрузочный и корневой раздел системы.
На флешке создаёшь два раздела:
1. EFI,
2. Раздел для директории /boot на котором будет лежать
. ядро,
. initrd с ключами шифрования корневого раздела
. конфиг загрузчика с чексуммами ядра и ini(GRUB это умеет)
. или средствами проверки их цифровой подписи.
. цифровая подпись для проверки целостности «конфига»
На диске создаёшь сам корневой раздел корневой раздел с ключами шифрования для остальных разделов системы.
1. EFI BIOS с первого раздела проверяет подпись первичного загрузчика, грузит и запускает его на выполнение.
2. Первичный загрузчик помещённой внутрь его подписью проверяет целостность своего конфига и полностью догружает нужные ему модули.
3. после ручного или автоматического выбора пары initrd+ядро проверяет их чексуммы, грузит их в ОЗУ и запускает на выполнение
4. Во время загрузки с помощью находящегося внутри inintrd ключа шифрования монтируется корневой раздел.
5. После перехода на корневой раздел остальные разделы монтируются как твоей криптодуше угодно.
Флешку с загрузочными и корневым разделом таскаешь с собой.
Исправление torvn77, :
То есть ты хочешь построить полностью «доверенную» систему.
тогда сначала найди:
1. плату с нормальным UEFI и возможно Secure Boot
2. загрузчик linux, который умеет хранить в своём загрузочном файле ключь для проверки подписи своего конфига.
3. Надёжную флешку под загрузочный и корневой раздел системы.
На флешке создаёшь три раздела:
1. EFI,
2. Раздел для директории /boot на котором будет лежать
. ядро,
. initrd с ключами шифрования корневого раздела
. конфиг загрузчика с чексуммами ядра и ini(GRUB это умеет)
. или средствами проверки их цифровой подписи.
. цифровая подпись для проверки целостности «конфига»
3. На другом диске создаёшь сам корневой раздел корневой раздел с ключами шифрования для остальных разделов системы.
1. EFI BIOS с первого раздела проверяет подпись первичного загрузчика, грузит и запускает его на выполнение.
2. Первичный загрузчик помещённой внутрь его подписью проверяет целостность своего конфига и полностью догружает нужные ему модули.
3. после ручного или автоматического выбора пары initrd+ядро проверяет их чексуммы, грузит их в ОЗУ и запускает на выполнение
4. Во время загрузки с помощью находящегося внутри inintrd ключа шифрования монтируется корневой раздел.
5. После перехода на корневой раздел остальные разделы монтируются как твоей криптодуше угодно.
Флешку с загрузочными и корневым разделом таскаешь с собой.
Исходная версия torvn77, :
То есть ты хочешь построить полностью «доверенную» систему.
тогда сначала найди:
1. плату с нормальным UEFI и возможно Secure Boot
2. загрузчик linux, который умеет хранить в своём загрузочном файле ключь для проверки подписи своего конфига.
3. Надёжную флешку под загрузочный и корневой раздел системы.
На флешке создаёшь три раздела:
1. EFI,
2. Раздел для директории /boot на котором будет лежать
. ядро,
. initrd с ключами шифрования корневого раздела
. конфиг загрузчика с чексуммами ядра и ini(GRUB это умеет)
. или средствами проверки их цифровой подписи.
. цифровая подпись для проверки целостности «конфига»
3. Сам корневой раздел корневой раздел с ключами шифрования для остальных разделов системы.
1. EFI BIOS с первого раздела проверяет подпись первичного загрузчика, грузит и запускает его на выполнение.
2. Первичный загрузчик помещённой внутрь его подписью проверяет целостность своего конфига и полностью догружает нужные ему модули.
3. после ручного или автоматического выбора пары initrd+ядро проверяет их чексуммы, грузит их в ОЗУ и запускает на выполнение
4. Во время загрузки с помощью находящегося внутри inintrd ключа шифрования монтируется корневой раздел.
5. После перехода на корневой раздел остальные разделы монтируются как твоей криптодуше угодно.