Почему shim/mokmanager позволяет обходить _ALL_ защиты SecureBoot? И как это исправить?
Вот что я сделал:
- Создал собственные ключи SSL (db, KEK, PK) x (cer, key)
- Удалил существующие подписи из ядра, GRUB, shim (и всех других двоичных файлов EFI в
/boot) и подписал их своим собственным сертификатом (db). - Перезагрузил и зарегистрировал мои сертификаты в UEFI (который переместил их в пользовательский режим).
Пока так хорошо. Я надеялся, что начиная с этого момента у противника есть только два способа смены моих загрузчиков (GRUB):
- Перейти к UEFI и отключить SecureBoot (= > нужен пароль)
- Скомпрометировать мой личный ключ KEK (или PK), который разрешает изменения в переменной db (или KEK) EFI,
НО
Что происходит в реальности, так это то, что shim DOS обнаруживает, что GRUB скомпрометирован/изменен, он показывает следующее:
ERROR
Verification failed: (0x1A) Security Violation
<OK>
и затем, когда я нажимаю < OK > , он с радостью предлагает мне добавить еще один ключ (!)
Press any key to perform MOK management
Enroll key from disk
Очевидно, что он разрывает всю «цепочку доверия» - делает бесполезными все предыдущие шаги, в некотором смысле это бэкдор (я понимаю, что он пытается быть полезным, слишком полезным, вероятно...).
Вопросы
- Я прав? Может, я что-то упустил или что-то неправильно понял? У меня сложилось впечатление, что только владелец ключей может заменить загрузчики/EFI/ядра (в противном случае становятся возможными атаки WitchMaid, кража паролей LUKS становится легкой задачей, и так далее...)
- Есть ли обходные пути? Можно ли полностью удалить MokManager (
mmx64.efi)? Можно ли убрать поведение, сделать его «менее полезным»?
P.S.
На случай, если вам интересно, как насчет grub.cfg/initrd ... - Я использую автономную версию GRUB, которая проверяет подписи GPG на все загружаемое ( set check_signatures=enforce)
установлен Ubuntu 21.04, но затем он сломался, и я установил Ubuntu 20.04 вместе с 21.04 муравья, затем переместил все мои данные с 21.04 на 20.04 муравья, а затем удален 21.04 Gparted. теперь я просто хочу расширить свою 20.04 основную перегородку на нераспределенное пространство, которое раньше было 21.04 место. проблема в том, что я не могу сделать это, потому что мне нужно демонтировать раздел с живого диска. когда я открываю Gparted для изменения размера раздела, я не могу демонтировать его, потому что кажется, что это уже произошло, и поэтому я не могу расширить мой раздел? пожалуйста, помогите мне.
1 ответ
Вы не можете расширить sda5 не из-за его статуса подключения, а из-за того, что перед ним находится крошечный раздел sda4 fat32. Вы должны что-то сделать с этим разделом sda4, чтобы расширить sda5. Удалите его или переместите.
Я предлагаю убедиться, что у вас есть надежные резервные копии, прежде чем выполнять какие-либо операции с разделами.