it-swarm-ja.com

DebianでShimを使用する

DebianでShimを使用してセキュアブートを有効にする方法は?私はオンラインであらゆる種類の記事をフォローしてきましたが、今では我慢できなくなりました。誰もが方法を知っていますか?

1
Ranbir

私が最後に聞いたのは、Debianはセキュアブートをサポートしていなかったということです。それがDebian8で変更された場合、それは物事を大幅に単純化するはずです。ただし、Debianがセキュアブートをサポートしていない場合は、Shimに関する質問から一歩下がって、セキュアブートに関する質問を一般的に行うことをお勧めします。その一歩後退で、大まかに言えば、3つの解決策があります。

  • Linux Foundationの PreLoader をセキュアブートソリューションとして使用できます。このツールは概念的にはShimに似ていますが、承認したバイナリのハッシュを記録するため、ブートローダーとおそらくすべてのカーネルに暗号で署名する必要があるShimよりもセットアップが簡単です。
  • セキュアブートソリューションとしてShimを使用できます。 Shimは、暗号署名に基づいてバイナリを認証するように設計されているため、GRUB(または使用するブートローダー)のコピーと、場合によってはLinuxカーネルにも署名する必要があります。このプロセスは少し面倒で、簡潔に説明することは不可能です。
  • 独自のセキュアブートキーをインストールし、それらを使用してGRUB(または使用するブートローダー)および場合によってはカーネル)に署名できます。署名プロセスは、Shimを使用する場合と同じです。 、ただし、プロセスからShimを完全に削除できます。問題は、Shimをインストールするよりもキーの設定が難しいことです。ただし、remove不要なキー( Windowsを実行していない場合は、Microsoftからのもの)。

全体として、PreLoaderを使用するのがあなたの状況にとって最も簡単な解決策である可能性があります-DebianがそのGRUBとカーネルに署名する場合、Debianパブリックを見つければ、Shimの使用は簡単ではないにしても同じくらい簡単です。キーファイル。

明らかに、この答えは完全ではありません。使用するアプローチを決定したら、より多くの情報が必要になります。 PreLoaderとShimの使用方法については 私のメインのセキュアブートページ を、独自のキーのインストールと使用については私の セキュアブートの制御 ページを参照してください。

もう1つのコメント:これがシングルブートインストールの場合、特にセキュアブートを尊重しないバージョンのGRUBを使用する場合、セキュアブートを使用しても最小限のメリットしか得られません。セキュアブートは、ブートローダーがマルウェアに置き換えられる可能性のあるシステム上にあります。歴史的に、Windowsは、最終的に侵害されるプラットフォームとしても、マルウェアのインストールに使用されるOSとしても、そのようなマルウェアのターゲットでした。Linuxがそのようなマルウェアのターゲットであるとは限りません。もちろん、ターゲットにすることはできませんが、ターゲットにする場合、ブートローダーを使用するときにカーネルに署名する必要がない場合は、very少ししか得られません。攻撃者はシステムを制御するためにストックカーネルを交換するだけでよいため、セキュアブートを有効にすることでセキュリティを強化します。

4
Rod Smith