启动操作系统时,当我们在启动时按下 F2 键时,会出现 BIOS 屏幕。在这里,我们可以选择启用安全启动。据我了解,现在固件会验证引导加载程序的签名,进而验证内核的签名。反过来,内核会验证其他一些模块的签名。如果验证在任何时候失败,则启动过程将中止。现在,关于这一切,我有几个问题:
1)如果在启用安全启动时系统正常启动,我们是否可以假设内核是正版的,因为其签名已经过验证?
2) 那么从 shell 运行的其他程序或命令呢,例如“apt”、“rm”、“shasum”、“sudo”等。我们可以假设这些程序或命令的签名也经过验证,因此它们也是真实的吗?
答案1
只有参与启动过程的软件才会经过安全启动的检查。
这引导加载程序(Ubuntu
grub
在 UEFI 模式下使用)和核心经过检查;它们应该与签名相匹配。我也认为内核驱动程序进行检查,未签名的驱动程序将被列入黑名单,这可能会排除一些图形和 wifi 的专有驱动程序。其他软件是未检查通过安全启动功能。这包括常规应用程序,包括命令行(文本模式)程序和图形模式(GUI)程序,以及软件驱动程序,这些程序不是内核驱动程序以及其他可以在后台运行的帮助程序。
安全启动不足以保证您的安全。您必须使用其他方法来避免恶意软件。从 Ubuntu 存储库或知名的 PPA 安装程序,但避免使用来自任何随机网站的程序(除非您拥有源代码并理解它)。请记住,网站和文档文件也可能被恶意软件感染。