TPMを使用したUbuntuブートローダーの保護
現在、TPM2モジュールをサポートするIntel CPUを搭載したUbuntu 16.04を使用しています。
ブートローダーを強化しようとしています。TPM2をサポートするtrustedgrub2フォークを使用してみました。trustedgrub2は現在UEFI BIOSをサポートしていないため、残念ながら、システムをtrustedgrubにインストールした後、レガシーBIOSをエミュレートするUEFI-CSMに切り替えました。まだGRUB2で起動します。
私もtbootを使用してみましたが、どこにもドキュメントがほとんどないようです。
私の質問は、trustedgrub2を使用/インストールするための優れたチュートリアルはありますか?または、起動プロセスをより安全にするために、上記のオプションに代わるものはありますか?
ありがとう!
buntuはセキュアブートをサポートしています 。これにはUEFI専用モードが必要です。 CSMを無効にしてください。 TPMは Linux Integrity Measurement Architecture で使用できます。
- 昔は どうやらIMAは非常に未熟だったようです 。
- 進捗状況 。
- このページ によると、IMAは14.04以降Ubuntuにコンパイルされているようです。
私が読んでいることから、まだいくつかの作業を行う必要があります。
Tbootを実行する手順は次のとおりです。
Enable EFI booting mode in BIOS setup menu, enable VT-x, VT-d, TPM ,TXT in BIOS setup menu, save and exit
apt-get update
apt-get install tpm-tools
apt-get install Mercurial
hg clone http://hg.code.sf.net/p/tboot/code tboot-code
cd tboot-code/tboot
make install
cd ../utils
make install
copy your /sbin/init to /boot
grub-mkconfig -o /boot/grub/grub.cfg
reboot
select tboot from grub boot menu
login as root
run txt-stat, after booting into ubuntu
ここから取得: https://sourceforge.net/p/tboot/wiki/Home/
実際、Ubuntu 18.04.1では次のように動作します。
Sudo txt-stat | grep TRUE
senter_done: TRUE
private_open: TRUE
locality_1_open: TRUE
locality_2_open: TRUE
secrets: TRUE
lock: TRUE
TXT measured launch: TRUE
secrets flag set: TRUE
TBOOT: TPM nv_locked: TRUE
TBOOT: TPM nv_locked: TRUE