Текст ниже с веб-сайта Национального Центра Кибербезопасности, верная Великобритания?
Пока аппаратные средства Защищенной загрузки могут проверить первый шаг цепочки начальной загрузки, Ubuntu не продолжает проверять загружающуюся систему, таким образом, включить и настроить Защищенную загрузку не предлагают дополнительного преимущества безопасности.
Это действительно так. В Windows безопасная загрузка может предложить дополнительные преимущества, как отмечено в NCSC :
Драйвер раннего запуска для защиты от вредоносных программ (ELAM) обеспечивает проверку подписи для известных плохих драйверов в соответствии с ELAM системы, настроенные для использования безопасной загрузки.
...
Процесс безопасной загрузки Windows 10 (на поддерживаемом и правильно настроенном оборудовании) предупреждает пользователя, когда была предпринята попытка подорвать средства управления безопасностью. Важно, чтобы пользователи знали, как идентифицировать и реагировать на это предупреждение.
blockquote>Ни одна из функций не доступна в Ubuntu, о которой я знаю.
Это правда, Secure Boot over UEFI проверяет только подписанную прошивку загрузки (файл, помещенный в раздел FAT32, используемый для запуска загрузчика), но кажется, что проверка подписанных драйверов также может быть выполнена, но я никогда не слышал о драйверах, подписывающих в Ubuntu, в то время как системы Microsoft делают это. Остальная часть файловой системы не подписана наверняка.
редактировать: я создал подписанный пакет linux в репозитории Ubuntu, это означает, что драйверы также подписаны.
Поддержка Защищенной загрузки Ubuntu изменялась со временем, и кавычка, которую Вы обеспечили, устарела. Вообще говоря существует несколько этапов, на которых могла бы произойти проверка:
bash
до веб-браузеров и текстовых процессоров. В принципе ядро могло потребовать, чтобы эти двоичные файлы были подписаны. На практике я не знаю ни о какой поддержке такого требования подписания в Linux. Такое требование было бы довольно обременительно, особенно для разработчиков программного обеспечения или кого-либо, кто хочет выполнить двоичные файлы от третьих лиц. В дополнение к этим четырем главным уровням (потенциальной) проверки, существует несколько скручиваний, промежуточных уровней, исключений, и т.д. Например, ядро может включать загрузчик тупика EFI, , который превращает ядро в его собственный загрузчик, таким образом стирая грань между шагами 1 и 2. Я также видел ядра, которые отказываются запускаться, если они запускаются из загрузчика, который не делает проверки Защищенной загрузки, которая изменяет к лучшему требование шага № 2. В принципе проверка вне загрузчика могла использовать механизм кроме ключей Защищенной загрузки. На практике, в мире Linux, ключи Защищенной загрузки используются через шаг № 3; однако, это - мое понимание, что ядро предоставляет свой собственный код для проверки модулей ядра (шаг № 3), таким образом, технически код Защищенной загрузки в UEFI не включен мимо шага № 2. (Я никогда не исследовал это подробно, тем не менее, таким образом, я мог бы ошибиться об этой детали.)
кроме того, я сфокусировался на выпусках LTS в своих описаниях выше. Некоторые изменения настроек безопасности, возможно, были представлены во временном (non-LTS) выпуски; я не вспоминаю детали.
, Как отмечено, Ubuntu увеличивала свой уровень требований проверки со временем. Кавычка, которую Вы обеспечили, была точна для Ubuntu 12.04, и возможно 14.04, но не 16.04 - по крайней мере, не с конфигурацией по умолчанию с Защищенной загрузкой, включенной во встроенном микропрограммном обеспечении. (Вы могли, конечно, выгрузить GRUB Ubuntu для более старой версии или другого загрузчика, который не делает никакой проверки Защищенной загрузки вообще.) Для некоторых приложений более прекрасные детали, как обзоры кода кода доступа, могут быть важными. Если Вы работаете в среде высокой безопасности (как банк, оборонный подрядчик, определенные правительственные учреждения, и т.д.), необходимо определенно полагаться отдел безопасности собственного работодателя, подрядчиков безопасности, и т.д., а не совет от случайных незнакомцев на веб-форуме.