我已经设置了自签名的 refind 和 linux 内核。问题是 intel-ucode 和 initramfs 位于 /boot 上,而 /boot 是一个未加密的 fat32ESP文件系统 - UEFI 专用。
我如何保护我的 initramfs 和 intel-ucode?
一种选择是让内核根据密钥检查它们或从 luks 加密的根文件系统(ext4)加载它们,但我不知道这是否可行。
另一个选择是让内核检查它们的签名——但不知道是否可行。
自签名安全启动 initramfs 和 intel-ucode