А может дрянь не в сам grub совать будут, а в "обновлённые сборки дистрибутивов Linux" уже засунули... А чтобы со старых, чистых образов не грузились и не ставили чистую систему отозвали в UEFI старые ключи!

RedHat с systemd любимого Потеринга начало жесткое наступление.

Скрипт для подписи другой, подписываю все файлы в каталоге /boot, можете начать из того что в документации.

Подписывать надо только если меняете ядро, инитрд, grub или его конфиги.

Обновление и настройка организованы так чтобы в рабочей системе приватных ключей не было.

Если ключ граб изменился то измененный надо добавить в core.img, grub-install это делает. И потом подписать ключом UEFI.

Сам себе дистростроитель. Свой дистр свои правила.

Сегодня нет популярных дистров с полностью включенной Integrity.

Спросите Мишу пусть нам расскажет почему в ALT Linux политика IMA проверяет только модули ядра и прочие критические элементы, а не всю систему: /bin /sbin /lib /etc /usr ?

> Что мешает на компе прописать зловредные ключи при наличии физ доступа?

В каком месте собираешься подставить зловредный ключ:
https://www.opennet.ru/openforum/vsluhforumID3/121426.html#62
Этот зловредный ключ должен иметь подпись ключа с предыдущего этапа загрузки.

Есть такое понятие "верифицированная цепочка загрузки".

Здесь "уязвимость"/фичя того же порядка как shell busybox в initrd или режим single user mode в Linux.

Если диски /boot и / шифрованы, то никто чужой этими фичами воспользовался не сможет.

А раст что, телепатить умеет? Там ошибка в том что все должно было вырубиться после ошибки, а оно ругнулось сообщением и как ни в чем не бывало продолжило пахать дальше. Раст сам по себе от такого не поможет.

И вообще, секурбут очень забавная штука. Ну вот например с ним бывает так:
https://www.securityweek.com/microsoft-pulls-uefi-related-windows-update-after

...так что даже если вы и пропатчите grub, это еще не значит что хаксор не загрузит трэшак с касперского буткита. Более того - попытка это заткнуть привела к unbootable системам у хомячков и мс быренько убрал апдейт, видимо не жаждя отвечать за "кирпичи" :D

Так перепишите, кули. А то все вы такие умные с вашими серебряными пулями. Покажите себя в деле, не?

Скажем так не очень большие... несанкционированную перезагрузку скрыть нельзя.

Вмешательство в корпус тоже сложно не заметить.

В таком случае физический доступ дает лишь физическое уничтожение или кражу оборудования.

Все пишут как это легко и просто, но это ничерта непросто.
Может быть возможно, но точно не просто.
Или вы мне расскажете много нового?

Внимательно смотри на картинку!

Вот та часть "вместо" может и не получиться. Потому что они предустановлены и не факт что удастся вытряхнуть. А "вместе" с мсовскими - ну вон там блэкхэты какой-то буткит касперского подписаный мсом вон освоили для этого дела. И попытки это зарубить сделали юзерам кирпичи, так что ms отпедалил взад.

Кто проверяет подписи:
1. Самого UEFI перед его загрузкой и испоьнением?
2. Ядро grub с необходимыми модулями крыптографии для расшифровки /boot, публичными ключами grub, модулями grub для проверки подписей и переменными окружения grub?
3. Подгружаемые по требованию модули, настройки grub?
4. Ядра и инитрд OS?
5. Процесс #1 init и все остальные исполняемые в системе файлы, библиотеки, настройки и данные доступные только для чтения?

Что такое доверительную сертифицированная цепочка загрузки OS?

Однако демьян апдейты grub все же выкатил. А то что она не эксплуатируемая в большинстве конфиг - отлично, но баги чинить все же надо.

Там соль не в этом, а в том что он продолжил как ни в чем ни бывало пахать после явно фатально ошибки. Всего-то выкинув сообщение и продолжив. То что за таким поведением проги следует - в общем то undefined.

SecureBoot это необходимая технология в цепочке верификации загрузки компьютера. Она нужна для проверки целостности и аутентичность загрузчика OS.

добавить поддержку никто не мешает - это всего лишь прочитать пару секторов

>, не умеет больше 4 физических разделов

во-первых что такое "физический раздел"? физически на диске разделы не создаются, бывают только логические
во-вторых не умеет как раз таки досовская таблица разделов, а в первом пункте мы уже добавили поддержку гпт

>, не умеет разделы > 2Тб

см п.2

Да блин, что за каша в головах у людей? Если имеете в виду grub-pc, то так и пишите. MBR — это просто область на диске, она не может "работать" или "во что-то уметь".

P. S. Да, к сведению: на машине, с которой я пишу, grub-pc и GPT. Всё работает.

Вот в grub 0.97 был гуманоидный синтаксис:

# ((1) Arch Linux
title  Arch Linux Fallback
root   (hd0,0)
kernel /boot/vmlinuz26 root=/dev/disk/by-uuid/131aa439-f2c0-41e3-b239-c778fcf572a5 rootfstype=xfs ro
initrd /boot/kernel26-fallback.img

просто запомнить можно было, а по примеру интуитивно понять что к чему, попробуйте без интернетов и манов понять что в конфиге груб2.

Нет, реально же просто три строчки, ну 4, 4ая титл, но для загрузки - три блин строчки нужно всего !!

ну вот этим должен был заниматься как раз grub или какая-нибудь его замена. В идеале - встроенная в само ведро, потому что неясно, зачем нужна еще отдельная прокладка.
Но нет. Это было бы слишком уж просто.

Поэтому он делает кучу невменяемой ненужной хни ВМЕСТО того.

Даже убогий systemd-boot (вопреки названию вообще ничего не умеющий загружать) выглядит меньшим г-ном.

Я такое не коллекционирую, но на форониксе новость была про малварь подписанную таким. И еще по ссылям в сабже можно найти рассказ про буткит касперыча с какого-то его rescue диска, чтоли, которым блэкхэты научились что попало грузить, аннулировав всю схему к хренам опять же. MS попробовал это зарубить - и быро отпедалил взад под вой окирпиченых юзерей. Поэтому оно так вроде и осталось работающим по сей день. Выбирая между просером своей репутации и вашей безопасностью MS выбрал понятно чего.

Вот и начались мантры))