我对安全网络启动很感兴趣。UEFI 安全启动与我控制的签名密钥相结合,可确保不会运行任何未经授权的代码。但是,它不提供回滚保护:攻击者可以导致运行较早版本的操作系统。
有没有什么办法可以防止这种情况发生?首先想到的是:
- initramfs 将正在运行的内核版本(
uname -r)及其自身的版本与存储在 EFI 变量中的值进行比较。 - 如果 EFI 中的值较新,则中止启动。
- 否则,这些值将写入 EFI 变量。
网络启动的回滚保护
我对安全网络启动很感兴趣。UEFI 安全启动与我控制的签名密钥相结合,可确保不会运行任何未经授权的代码。但是,它不提供回滚保护:攻击者可以导致运行较早版本的操作系统。
有没有什么办法可以防止这种情况发生?首先想到的是:
uname -r)及其自身的版本与存储在 EFI 变量中的值进行比较。