我启用了安全启动,并且需要在加载之前对内核模块进行签名。用于签名的密钥位于外部驱动器上,以减少密钥被泄露并被用于签署恶意内核模块的机会。有什么方法可以防止 root 通过mokutil --disable-validation.攻击者可以在 shim 加载后简单地禁用安全启动验证,因此 BIOS 不会知道,但可以加载未签名的内核模块。这就是我试图减轻或变得更加困难的问题。
答案1
- 设置BIOS密码
- 加密您的硬盘并将密钥存储在其他地方
- 禁用默认 ssh
- 禁用默认 RDP
- 设置严格的防火墙规则
据我所知,目前还没有人能够破解或绕过 Windows Bitlocker。对于Ubuntu来说,配置高的话突破起来超级困难,否则一切皆有可能……