grub 2.0安全启动校验镜像逻辑

已于 2024-03-26 10:42:59 修改
阅读量167 收藏 3
点赞数 6
文章标签: linux 数据库 运维
于 2024-03-21 20:48:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/136920303
版权

grub 2.0安全启动校验镜像逻辑

grub中会使用验证器来校验镜像的正确性。在 GNU GRUB 中,一旦你注册了你的验证器,它将自动用于所有打开的文件。这是一个基本的步骤来使用你的验证器:

注册验证器:首先,你需要使用 grub_verifier_register 函数来注册你的验证器。这通常在你的模块的初始化函数中完成。
打开文件:当你打开一个文件时,GRUB 会自动调用你的验证器。这是通过 grub_file_open 函数完成的,它接受一个文件名和一个文件类型作为参数。
读取文件:当你读取文件的内容时,GRUB 会调用你的验证器的 write 函数。这是通过 grub_file_read 函数完成的,它接受一个文件指针,一个缓冲区和一个大小作为参数。
关闭文件:当你完成文件读取后,你需要关闭文件。这是通过 grub_file_close 函数完成的,它接受一个文件指针作为参数。在这个函数被调用时,如果你的验证器有一个 fini 函数,它也会被调用。

验证器关键数据结构

struct grub_file_verifier
{
  struct grub_file_verifier *next;
  struct grub_file_verifier **prev;

  const char *name;

  /*
   * Check if file needs to be verified and set up context.
   * init/read/fini is structured in the same way as hash interface.
   */
  grub_err_t (*init) (grub_file_t io, enum grub_file_type type,
              void **context, enum grub_verify_flags *flags);

  /*
   * Right now we pass the whole file in one call but it may
   * change in the future. If you insist on single buffer you
   * need to set GRUB_VERIFY_FLAGS_SINGLE_CHUNK in verify_flags.
   */
  grub_err_t (*write) (void *context, void *buf, grub_size_t size);

  grub_err_t (*fini) (void *context);
  void (*close) (void *context);

  grub_err_t (*verify_string) (char *str, enum grub_verify_string_type type);
};

grub 2.0中的验证器

struct grub_file_verifier shim_lock_verifier =
  {
    .name = "shim_lock_verifier",
    .init = shim_lock_verifier_init,
    .write = shim_lock_verifier_write
  };

struct grub_file_verifier grub_pubkey_verifier =
  {
    .name = "pgp",
    .init = grub_pubkey_init,
    .fini = grub_pubkey_fini,
    .write = grub_pubkey_write,
    .close = grub_pubkey_close,
  };

struct grub_file_verifier grub_tpm_verifier = {
  .name = "tpm",
  .init = grub_tpm_verify_init,
  .write = grub_tpm_verify_write,
  .verify_string = grub_tpm_verify_string,
};

struct grub_file_verifier lockdown_verifier =
  {
    .name = "lockdown_verifier",
    .init = lockdown_verifier_init,
  };

grub校验逻辑核心

注册了grub_file_verifier 后就是调用,grub 会在grub_verifiers_open里面调用所有的grub_file_verfiy, 核心流程如下:

grub_verifiers_open (grub_file_t io, enum grub_file_type type)
	grub_file_read
	ver->write
	ver->fini
	ver->close

grub_verifiers_open有会注册到grub_file_filters中,是个全局变量。

grub_file_filter_t grub_file_filters[GRUB_FILE_FILTER_MAX];

grub_verifiers_open中有这么段逻辑,应该是检查所有verifiers是否开启的开关。

  FOR_LIST_ELEMENTS(ver, grub_file_verifiers)
    {
        enum grub_verify_flags flags = 0;
        err = ver->init (io, type, &context, &flags);
        if (err)
            goto fail_noclose;
        if (flags & GRUB_VERIFY_FLAGS_DEFER_AUTH)
        {
            defer = 1;
            continue;
        }
        if (!(flags & GRUB_VERIFY_FLAGS_SKIP_VERIFICATION))
            break;
    }
inquisiter
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
grub命令行启动系统简明教程
09-15
主要介绍了grub命令行启动系统的简明教程,以及GRUB启动命令详解,需要的朋友可以参考下
ubuntu中修改grub启动时间生成
01-10
网上查询修改grub启动时间基本上是修改 /etc/default/grub #注释掉GRUB_HIDDEN_TIMEOUT=0 #GRUB_HIDDEN_TIMEOUT=0 #修改GRUB_TIMEOUT = 0 GRUB_TIMEOUT = 0 然后运行update-grub重新生成/boot/grub/grub.cfg.然而这并不管用,依旧要等待30秒 查看/boot/grub/grub.cfg ### BEGIN /etc/grub.d/00_header ### ... function recordfail { set recordfail=1 # GRUB lacks
最精简启动efi包含grub程序和配置.zip
03-31
在根目录增加vmlinuz和initrd.gz文件,可作为启动U盘和硬盘。注意:EFI分区必须是FAT32格式。结合puppy Linux,可以直接拷贝文件到ntfs,进入linux图形界面。
创建grub引导的硬盘镜像脚本
11-05
1.目录说明 cong@msi:/work/os/rootfs/grub/grub0.97$ tree . ├── bochrc -->bochs启动配置 ├── bzImage -->内核 ├── creatext2.sh -->创建文件系统的脚本 ├── grub -->在grub的install时会用到 │   ├── default │   ├── device.map │   ├── e2fs_stage1_5 │   ├── fat_stage1_5 │   ├── installed-version │   ├── jfs_stage1_5 │   ├── menu.lst --->grub启动配置文件 │   ├── menu.lst_bak │   ├── minix_stage1_5 │   ├── reiserfs_stage1_5 │   ├── stage1 │   ├── stage2 │   └── xfs_stage1_5 ├── grub-floppy ├── grub-install ├── grub-md5-crypt ├── grub-mkdevicemap ├── grub-probe ├── grub-reboot ├── grub-set-default ├── grub_sh -->grub的命令行,但与grub目录重名,改名了 ├── grub-terminfo ├── Makefile -->make qemu 启动qemu └── Readme.txt 2. 使用说明 a. 执行creatext2.sh脚本会在当前目录下生成hdc.img 这个是只ext2文件系统的镜像 cong@msi:/work/os/rootfs/grub/grub0.97$ ./creatext2.sh b.启动qemu即可看到启动grub的界面 cong@msi:/work/os/rootfs/grub/grub0.97$ make qemu
Linux运维常见面试题汇总
热门推荐
静静是我女朋友
10-19 8万+
Linux面试题 一、填空题 1. 在Linux 系统 中,以文件方式访问设备 。 2. Linux 内核引导时,从文件/etc/fstab中读取要加载的文件系统 。 3. Linux 文件系统中每个文件用indoe节点来标识。 4. 全部磁盘块由四个部分组成,分别为引导块 、专用块 、 i 节点表块 和 数据存储块 。 5. 链接分为:硬链接 和 符号链接 。
Docker全环境操作手册(更新中)
visket2008的专栏
03-24 2985
Docker知识从入门到精通手册 (标准篇:1-5 中级篇:6-7 高级篇:8-11)正文1.如何理解docker2.如何安装docker2.1文件下载2.2虚拟机、操作系统安装2.3 docker前置环境安装2.4 docker安装3.如何快速使用docker(常用操作命令)4.如何管理自己的docker仓库4.1 私有仓库创建4.2 harbor仓库创建5.docker镜像创建和使用6.docker镜像、容器操作6.1镜像基础情况查询6.2如何启动镜像6.3如何查询容器状
图灵机启动顺序
a1058926697的博客
05-29 873
图灵机操作系统启动顺序:bios/uefi --bootloader-os linux init系统初始化过程
Network 之十 BIOS + MBR、UEFI + GPT、GRUB、BOOTMGR、SYSLINUX、Option ROM
技术干货
08-28 3507
一台运行操作系统的设备(PC 或嵌入式 Linux 设备)从上电到出现我们用户可见的操作系统提供的 GUI 或者 CLI 经历了一些列的过程。这个过程在 PC 和 嵌入式设备上稍有不同,但大致的流程仍然基本一致。.......................................................................................
linux基础命令使用详解
赵英超的博客
08-15 1380
网络篇 ping ping -c 3 -q -s 65500 -t 255 -i 0.1 -f www.baidu.com  -c:指定ping的次数 -q:只重结果不重过程 -s: 默认情况下,ping命令是以64字节大小的数据包来测试网络联通性的,如需要改变默认数据包的大小,则可以使用参数-s选项。 -t: 指定ping的TTL -i: 指定ping的时间间隔 -f...
Linux|Awk 变量、数字表达式和赋值运算符
冷冻工厂
04-25 588
同样,数字 22 被赋予了变量 port_no,还可以把一个变量的值赋给另一个变量,就像最后一个例子中,将变量 computer_name 的值赋给了变量 server。例如,假设有一个名为 names.txt 的文件,该文件列出了一个应用程序的用户的名单,包括他们的名、姓和性别。要理解在 Awk 中数值表达式的运用,来看下面的例子,这个例子中用到了一个名为 domains.txt 的文件,这个文件列出了 Tecmint 所持有的所有域名。接下来,将探讨 Awk 的最后一个特性——赋值运算符。
Linux:浏览器访问网站的基本流程(优先级从先到后)
最新发布
fox_kang的博客
04-28 648
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
linux 编译binutil 遇到问题
123
04-26 203
linux 编译binutil
Linux驱动开发——(八)Linux异步通知
wJen的博客
04-27 962
讲述了Linux内核中的异步通知及其驱动代码。
Linux 进程概念和状态
2301_77529683的博客
04-25 1089
我们在使用计算机本质上都是对数据进行处理,将数据输入到计算机,计算机在输出到一些设备上让我们看到。计算机在处理这些数据上都基本遵循着冯诺依曼体系。输入设备:键盘、鼠标、磁盘、网卡、话筒...存储器:内存中央处理器:cpu输出设备:显示器、声卡、磁盘、网卡...这个过程就是对数据的流动加工,先将数据输入到输入设备中,输入设备再拷贝到存储器上,存储器将数据给运算器来进行基本运算处理数据,再把加工后的数据返给存储器,由存储器给输出设备。整个过程都是由控制器来控制的。
linux 信号
l2894的博客
04-27 749
设定闹钟是再OS内部,OS内可能有很多进程使用闹钟,所以OS要管理所有的闹钟,先描述,再组织,所以内核中一定要有描述闹钟属性的结构体,并用特定的数据结构组织起来,这里可以使用小根堆来对闹钟进行管理。),并保存在指定寄存器中,当中断发生时,CPU会暂停当前正在执行的程序,并保存当前进程的上下文数据,然后查找中断向量表,找到与中断号对应的处理函数的地址,回调方法。同时CPU有很多针脚,和外设物理连接,每个针脚有自己的编号,键盘按下按键会给特定的针脚发送高电平,触发硬件中断,CPU会识别到针脚的编号(
[Linux_IMX6ULL驱动开发]-设备树简述
levi的博客
04-24 939
这个属性有一点重要的作用是,假如我这里有两块板子,板子A以及板子B,同时使用了一个公板的设备树节点XXX.dtsi(dtsi表示可以被设备树使用#include包含),此时我的板子A不需要使用到公板的uart节点,那么我们直接在板子A的设备树中,使用&uart来引用此节点,再把状态设置为disable即可。设备树的属性如果不是自定的,那么可以直接获取,比如说reg属性,就是MEM资源,interrupts属性,就是IRQ资源,这些都是可以直接调用函数platform_get_resource获取。
Linux 抽象命名空间(Abstract Namespace)简介
日拱一卒,玉汝于成
04-25 598
与传统的 UDS 不同,抽象命名空间并不在文件系统中创建实际文件,而是仅存在于内核内存中,其名称以 localabstract: 作为前缀。在这个例子中,我们创建了一个名为 my_abstract_namespace 的抽象命名空间,并将其绑定到了刚创建的 Unix 套接字上。要在 Linux 系统中生成一个抽象命名空间,通常需要使用编程语言的套接字 API 来创建一个 Unix 域套接字,并将其绑定到一个以 localabstract: 开头的特殊路径。
Linux下基本指令-掌握
2302_80190174的博客
04-26 1165
windows/苹果图形界面,是商业化的产物,也就是使用必须简单小白,才能有人用严格意义上讲,我们必须要学一下Linux命令行。因为企业后端有大量的服务器,服务器上跑的全是LinuxLinux上部署的全是服务(比如:qq的服务,王者荣耀,LOL的服务等),无论是成本角度,还是资源效率角度,后台的服务器,都不会大量给你也安装一个界面让你来控制(界面也是要占系统资源的哦)但是服务器上面的服务需要维护,需要管理,也就衍生大量的对基本操作的需求。也就是企业的用人需求。
Linux: Netfilter 简介
JiMoKuangXiangQu的专栏
04-28 875
Linux,网络,Netfilter
win11 ubuntu 美化 grub双系统启动界面
07-16
Win11和Ubuntu是两个常用的操作系统,而Grub是一个用于管理双系统启动的工具。如果你想对Grub进行美化,实现双系统启动界面的美化,你可以按照以下步骤进行操作: 第一步,打开Ubuntu系统。在终端中输入以下命令以安装Grub的图形界面编辑工具: sudo add-apt-repository ppa:bean123ch/grub-customizer sudo apt-get update sudo apt-get install grub-customizer 第二步,安装完成后,在应用程序菜单中搜索“Grub Customizer”并打开。 第三步,通过Grub Customizer工具,你可以对Grub启动菜单进行各种设置。你可以通过更改背景图片、添加主题和自定义菜单项等方式来实现界面美化。你可以选择一个符合自己口味的背景图片,然后应用到Grub启动界面上。 第四步,如果你想进一步美化Grub启动菜单,你可以选择安装一些第三方主题。你可以在互联网上搜索并下载适用于Grub的主题,然后在Grub Customizer中进行安装和启用。 第五步,完成所有设置后,点击“保存”按钮,然后退出Grub Customizer。 第六步,在重新启动计算机后,你应该能看到美化后的Grub启动界面。你可以通过箭头键来选择不同的操作系统启动项,并按下回车键来启动你想要的系统。 总结起来,通过安装Grub Customizer工具并对Grub启动菜单进行设置,你可以实现Win11和Ubuntu双系统启动界面的美化。希望以上的步骤对你有帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值