web-dev-qa-db-ja.com

セキュアブートによってどの程度のセキュリティが提供されますか?

OSの起動時に起動時にF2を押すと、BIOS画面が表示されます。ここでは、セキュアブートを有効にするオプションがあります。ファームウェアがブートローダーの署名を検証し、それがカーネルの署名を検証することを理解しました。次に、カーネルは他のいくつかのモジュールの署名を検証します。検証がいずれかの時点で失敗した場合、ブートプロセスは中止されます。ここで、これらすべてに関して、いくつか質問があります。

1)セキュアブートが有効になっているときにシステムが正しく起動する場合、署名が検証されているため、カーネルが本物であると想定できますか?

2)「apt」、「rm」、「shasum」、「Sudo」など、シェルから実行される他のプログラムまたはコマンドについてはどうですか。これらの署名も検証されていると想定できます。純正?

17
user15740

セキュアブートによってチェックされるのは、ブートプロセスに関係するソフトウェアのみです。

  • bootloader(UbuntuはUEFIモードでgrubを使用します)とkernelがチェックされます。それらは署名と一致する必要があります。 カーネルドライバーもチェックされていると思います。署名されていないドライバーはブラックリストに登録されます。これにより、グラフィックスとwifiの一部の専用ドライバーが除外される可能性があります。

  • その他のソフトウェアは、セキュアブート機能によってチェックされていませんです。これには、通常のアプリケーションプログラム、コマンドライン(テキストモード)プログラムとグラフィックスモード(GUI)プログラムの両方が含まれますが、ソフトウェアのドライバーも含まれますカーネルドライバーではありませんおよびバックグラウンドで実行できるその他のヘルププログラム。

セキュアブートでは、安全を確保するには不十分です。マルウェアを回避するには、他の方法を使用する必要があります。 Ubuntuリポジトリから、そしておそらく有名なPPAからプログラムをインストールします。ただし、ランダムなWebサイトからのプログラムは避けてください(ソースコードがあり、それを理解している場合を除きます)。 Webサイトやドキュメントファイルもマルウェアに感染する可能性があることに注意してください。

13
sudodus