Являются ли boot.img, initrd и vmlinuz адекватными или все содержимое должно быть хешировано? Я недостаточно знаком с процессом загрузки Linux, чтобы ответить на него с уверенностью.
1 ответ
1
Безопасная ставка будет заключаться в том, чтобы хэшировать все файлы в /boot (ядро, системная карта, MBR и конфигурацию загрузчика) - однако кто скажет, что злая служанка просто не заменит хэши? Итак, теперь вам нужно реализовать GPG, чтобы вы могли подписывать и проверять хеш-файл. Но что, если злая девица подрывает ГПГ ?? Аааа ...
Итак, я полагаю, если вы действительно беспокоитесь об этой злой служанке, лучшим решением будет сохранить / загрузиться на съемном USB-устройстве типа связки ключей на вашем поясе. Это нужно только для загрузки в конце концов. Я использую изящный на эластичной вещице.