web-dev-qa-db-ja.com

TPMを使用したUbuntuブートローダーの保護

現在、TPM2モジュールをサポートするIntel CPUを搭載したUbuntu 16.04を使用しています。

ブートローダーを強化しようとしています。TPM2をサポートするtrustedgrub2フォークを使用してみました。trustedgrub2は現在UEFI BIOSをサポートしていないため、残念ながら、システムをtrustedgrubにインストールした後、レガシーBIOSをエミュレートするUEFI-CSMに切り替えました。まだGRUB2で起動します。

私もtbootを使用してみましたが、どこにもドキュメントがほとんどないようです。

私の質問は、trustedgrub2を使用/インストールするための優れたチュートリアルはありますか?または、起動プロセスをより安全にするために、上記のオプションに代わるものはありますか?

ありがとう!

5
mmelamud

buntuはセキュアブートをサポートしています 。これにはUEFI専用モードが必要です。 CSMを無効にしてください。 TPMは Linux Integrity Measurement Architecture で使用できます。

私が読んでいることから、まだいくつかの作業を行う必要があります。

1
FPU

Tbootを実行する手順は次のとおりです。

Enable EFI booting mode in BIOS setup menu, enable VT-x, VT-d, TPM ,TXT in BIOS setup menu, save and exit
apt-get update
apt-get install tpm-tools
apt-get install Mercurial
hg clone http://hg.code.sf.net/p/tboot/code tboot-code
cd tboot-code/tboot
make install
cd ../utils
make install
copy your /sbin/init to /boot
grub-mkconfig -o /boot/grub/grub.cfg
reboot
select tboot from grub boot menu
login as root
run txt-stat, after booting into ubuntu

ここから取得: https://sourceforge.net/p/tboot/wiki/Home/

実際、Ubuntu 18.04.1では次のように動作します。

Sudo txt-stat | grep TRUE 
    senter_done: TRUE
    private_open: TRUE
    locality_1_open: TRUE
    locality_2_open: TRUE
    secrets: TRUE
    lock: TRUE
TXT measured launch: TRUE
secrets flag set: TRUE
TBOOT: TPM nv_locked: TRUE
TBOOT: TPM nv_locked: TRUE
1
odo