use*_*740 17 security apt boot grub2 kernel
启动操作系统时,当我们在启动时按 F2 时,会出现 bios 屏幕。在这里,我们可以选择启用安全启动。我了解到现在固件会验证引导加载程序的签名,而引导加载程序又会验证内核的签名。反过来,内核会验证其他一些模块的签名。如果验证在任何时候失败,则引导过程中止。现在,关于这一切,我有几个问题:
1)如果系统在启用安全启动时正常启动,我们是否可以假设内核是正版的,因为它的签名已经过验证?
2) 从 shell 运行的其他程序或命令怎么样,比如“apt”、“rm”、“shasum”、“sudo”等。我们可以假设这些签名也经过验证,因此它们也是真的?
sud*_*dus 13
安全启动只检查启动过程中涉及的软件。
检查引导加载程序(Ubuntugrub在 UEFI 模式下使用)和内核;他们应该匹配一个签名。我认为还会检查内核驱动程序,未签名的驱动程序将被列入黑名单,这可能会排除一些图形和 wifi 的专有驱动程序。
其他的软件是不检查由安全启动功能。这包括常规应用程序,包括命令行(文本模式)程序和图形模式 (GUI) 程序,还包括软件驱动程序,它们不是内核驱动程序和其他可以在后台运行的帮助程序。
安全启动不足以保证您的安全。您必须使用其他方法来避免恶意软件。从 Ubuntu 存储库或知名 PPA 安装程序,但避免从任何随机网站安装程序(除非您拥有源代码并理解它)。请记住,网站和文档文件也可能被恶意软件感染。