grub 2.0安全启动校验镜像逻辑

已于 2024-03-26 10:42:59 修改
阅读量268 收藏 3
点赞数 6
文章标签: linux 数据库 运维
于 2024-03-21 20:48:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/136920303
版权

grub 2.0安全启动校验镜像逻辑

grub中会使用验证器来校验镜像的正确性。在 GNU GRUB 中,一旦你注册了你的验证器,它将自动用于所有打开的文件。这是一个基本的步骤来使用你的验证器:

注册验证器:首先,你需要使用 grub_verifier_register 函数来注册你的验证器。这通常在你的模块的初始化函数中完成。
打开文件:当你打开一个文件时,GRUB 会自动调用你的验证器。这是通过 grub_file_open 函数完成的,它接受一个文件名和一个文件类型作为参数。
读取文件:当你读取文件的内容时,GRUB 会调用你的验证器的 write 函数。这是通过 grub_file_read 函数完成的,它接受一个文件指针,一个缓冲区和一个大小作为参数。
关闭文件:当你完成文件读取后,你需要关闭文件。这是通过 grub_file_close 函数完成的,它接受一个文件指针作为参数。在这个函数被调用时,如果你的验证器有一个 fini 函数,它也会被调用。

验证器关键数据结构

struct grub_file_verifier
{
  struct grub_file_verifier *next;
  struct grub_file_verifier **prev;

  const char *name;

  /*
   * Check if file needs to be verified and set up context.
   * init/read/fini is structured in the same way as hash interface.
   */
  grub_err_t (*init) (grub_file_t io, enum grub_file_type type,
              void **context, enum grub_verify_flags *flags);

  /*
   * Right now we pass the whole file in one call but it may
   * change in the future. If you insist on single buffer you
   * need to set GRUB_VERIFY_FLAGS_SINGLE_CHUNK in verify_flags.
   */
  grub_err_t (*write) (void *context, void *buf, grub_size_t size);

  grub_err_t (*fini) (void *context);
  void (*close) (void *context);

  grub_err_t (*verify_string) (char *str, enum grub_verify_string_type type);
};

grub 2.0中的验证器

struct grub_file_verifier shim_lock_verifier =
  {
    .name = "shim_lock_verifier",
    .init = shim_lock_verifier_init,
    .write = shim_lock_verifier_write
  };

struct grub_file_verifier grub_pubkey_verifier =
  {
    .name = "pgp",
    .init = grub_pubkey_init,
    .fini = grub_pubkey_fini,
    .write = grub_pubkey_write,
    .close = grub_pubkey_close,
  };

struct grub_file_verifier grub_tpm_verifier = {
  .name = "tpm",
  .init = grub_tpm_verify_init,
  .write = grub_tpm_verify_write,
  .verify_string = grub_tpm_verify_string,
};

struct grub_file_verifier lockdown_verifier =
  {
    .name = "lockdown_verifier",
    .init = lockdown_verifier_init,
  };

grub校验逻辑核心

注册了grub_file_verifier 后就是调用,grub 会在grub_verifiers_open里面调用所有的grub_file_verfiy, 核心流程如下:

grub_verifiers_open (grub_file_t io, enum grub_file_type type)
	grub_file_read
	ver->write
	ver->fini
	ver->close

grub_verifiers_open有会注册到grub_file_filters中,是个全局变量。

grub_file_filter_t grub_file_filters[GRUB_FILE_FILTER_MAX];

grub_verifiers_open中有这么段逻辑,应该是检查所有verifiers是否开启的开关。

  FOR_LIST_ELEMENTS(ver, grub_file_verifiers)
    {
        enum grub_verify_flags flags = 0;
        err = ver->init (io, type, &context, &flags);
        if (err)
            goto fail_noclose;
        if (flags & GRUB_VERIFY_FLAGS_DEFER_AUTH)
        {
            defer = 1;
            continue;
        }
        if (!(flags & GRUB_VERIFY_FLAGS_SKIP_VERIFICATION))
            break;
    }
inquisiter
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Network 之十 BIOS + MBR、UEFI + GPT、GRUB、BOOTMGR、SYSLINUX、Option ROM
技术干货
08-28 3721
一台运行操作系统的设备(PC 或嵌入式 Linux 设备)从上电到出现我们用户可见的操作系统提供的 GUI 或者 CLI 经历了一些列的过程。这个过程在 PC 和 嵌入式设备上稍有不同,但大致的流程仍然基本一致。.......................................................................................
【vbox】Linux安装Virtual Box虚拟机实践记录--编辑中
小鱼菜鸟的博客
07-22 2033
目录 一、安装 方法一 方法二 二、使用 在centos 使用 常用命令 VBoxManage 命令行使用(设置) VBoxManage 命令操作,详细的网络设置命令 1.5 桥接网络(Bridged Networking) 1.6 内部网络(Internal networking) 1.7 仅主机模式(Host-only ...
grub的secureboot安全启动,红屏蓝屏证书等问题的一揽子解决。
weixin_42032194的博客
05-05 700
安装后,开启安全启动时第一次启动,将显示Access Violation信息对话框,点击OK,之后选择“Enroll cert from file”选项,选择证书“ENROLL_THIS_KEY_IN_MOKMANAGER.cer”,确认证书注册。项目地址:https://github.com/ValdikSS/Super-UEFIinSecureBoot-Disk。推荐一个git的grub项目,解决secureboot安全启动的问题。然后就可以在安全启动模式下正常的引导了。这个项目的解决方案是。
GRUB2配置文件"grub.cfg"详解(GRUB2实战手册)
小耳朵图图是我
10-18 9544
版权声明 本文作者是一位开源理念的坚定支持者,所以本文虽然不是软件,但是遵照开源的精神发布。 无担保:本文作者不保证作品内容准确无误,亦不承担任何由于使用此文档所导致的损失。自由使用:任何人都可以自由的阅读/链接/打印此文档,无需任何附加条件。名誉权:任何人都可以自由的转载/引用/再创作此文档,但必须保留作者署名并注明出处。 其他作品 本文作者十分愿意与他人分享劳动成果,如果你
统信UOS及麒麟KYLINOS操作系统上设置GRUB密码
最新发布
鹏大圣运维
12-30 2467
hello,大家好啊!今天我要给大家介绍的是在统信UOS及麒麟KYLINOS操作系统上设置GRUB密码的方法。GRUB(GRand Unified Bootloader)是Linux系统中的一个标准启动加载程序,它负责在系统启动时加载操作系统。虽然通过进入单用户模式修改用户密码是一种常见的恢复方法,但在企业环境中,这可能会带来安全风险。未经授权的用户可能利用这一点来绕过安全措施。因此,设置GRUB密码是一种增强系统安全的有效方法,它可以防止未经授权的用户修改启动和恢复选项。让我们开始吧!
【UEFI实战】Secure Boot
热门推荐
jiangwei0512的博客
03-29 1万+
【UEFI实战】Secure Boot。
linux查看安装服务镜像版本,导入镜像规范检测工具
weixin_34017901的博客
05-01 928
制作要导入的自定义镜像前,建议您使用镜像规范检测工具,自动检测操作系统设置是否符合导入条件。本文通过操作示例、参数和输出项详细为您介绍如何使用镜像规范检测工具。一、使用说明滴滴云云服务器支持使用自定义镜像创建实例。该自定义镜像可以是基于您的线下服务器、虚拟机或者其他云平台的云主机创建的镜像,您需要先将镜像导入滴滴云,才可使用其创建实例。导入滴滴云的自定义镜像需满足一定要求,详情请参见 导入镜像指南...
BIOS和UEFI区别,以及Boot Loader【下】
XJYSober的博客
12-09 4344
OS启动分区下面的文件 CentOS7.6实例 Ubuntu20.04实例 文件作用 1、BOOTX64.EFI:定义了UEFI启动后将通过Bootx64.efi 引导你的计算机,并进入各种模式,维护、安装、计算机或者系统。这里是 Bootx64.efi ,它只是一个通用名,权限丰富且大于Windows 默认,就是说如果你的Windows 默认的启动文件不在了,启动计算机默认的引导文件Bootx64.efi也是可以启动计算机的。使用计算机默认文件随时可以在各种环境下启动计算机,EFI S..
linux就该这么学——笔记》第7章 使用RAID与LVM磁盘阵列技术
leakey_lg的博客
01-31 466
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
Arch Linux&Linux引导教程 2021.7.22
stvsl的博客
07-19 4241
Arch Linux配置&Linux使用教程 文章目录Arch Linux配置&Linux使用教程1.简介2.安装前的准备——镜像烧录2.1 原Windows用户2.2 原Linux用户2.3 使用ventory实现烧录3.进入安装环境前的准备3.1 原windows用户3.2 原Linux用户3.3 不管你是什么用户4.开始安装过程4.1 确认当前的引导模式为UEFI4.2 连接网络4.3 确认网络连接状态4.4 禁用reflector4.5 进行时间同步4.6 更换国内镜像源4.7 分区
Linux简答类型题
Peak_Gerry的博客
09-26 2332
服务器管理和工作原理 1.简述Linux 文件系统通过i 节点把文件的逻辑结构和物理结构转换的工作过程。 参考答案: Linux 通过i 节点表将文件的逻辑结构和物理结构进行转换。 i 节点是一个64 字节长的表,表中包含了文件的相关信息,其中有文件的大小、文件所有者、文件的存取许可方式以及文件的类型等重要信息。在i 节点表中最...
grub2引导linux内核,启动流程、模块管理、BootLoader(Grub2)
weixin_42321496的博客
05-01 3241
系统启动是一项非常复杂的程序,因为内核得先检测硬件并加载适当的驱动程序后,接下来则必须要调用程序来准备好系统运行的环境,让用户能够顺利操作主机系统。如果你能够理解开机的原理,那么将有助于你在系统出问题时能够快速修复系统。而且还能够顺利的配置多重操作系统的多重引导问题。为了多重引导,就不能不学grub2这个Linux下优秀的引导装载程序(boot loader)。而且在系统运作期间,你也要学会管理内...
grub加载linux内核,浅析 GRUB 如何加载 Linux kernel
weixin_28941895的博客
04-29 1136
分析 GRUB 源码从[GRUB 官网](http://www.gnu.org/software/grub/)上下载的是 GRUB2 的代码,结构更清晰。因为有关键字 "linux", 我们就用 "linux" 来搜索,可以搜到如下代码.grub-core/loader/i386/pc/linux.ccmd_linux = grub_register_command("linux", grub_c...
Grub2加密----"禁止"修改启动菜单
来信了上校
03-03 2223
Grub2加密—-“禁止”修改启动菜单 自己的机子装了双系统,改用 Grub2 引导 Windows. 这就带来一个问题: Linux 的 root 密码可以通过进入单用户模式重置(大家都知道). 可以把整个Grub2加密,但这样每次都要输入密码,很麻烦. 如果只在修改启动参数时才要输入密码,而正常引导不用,问题就解决了. 查了一下资料,参考了别人的做法,笔记如下. 系统为 Ubu...
CVE-2020-10713: GRUB2 本地代码执行漏洞通告
爱国小白帽
07-31 2129
360-CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-073101 报告来源:360CERT 报告作者:360CERT 更新日期:2020-07-31 0x01 漏洞简述 2020年07月31日, 360CERT监测发现 eclypsium 发布了 GRUB2缓冲区溢出漏洞 的风险通告,该漏洞编号为 CVE-2020-10713,漏洞等级:高危。 GRUB2 存在 缓冲区溢出漏洞,本地攻击者 通过 设置特制的grub.cfg配置文件,可以造成
Grub2 强大的引导程序,智能修复启动
横云断岭的专栏
12-12 1万+
偶然间发现ubuntu自9.10来就把grub2当作默认引导程序,而grub2的确功能强大。一直以来,人们都为安装linux和windows之后怎样修复启动而头疼。而grub2的出现,或许可以减少很多麻烦,因为比起grubgrub for dos,grub2的确智能很多。grub2目前中文文档很少,下面是一些英文帮助页面。ubuntu wiki页面:https://help.ubuntu.com/community/Grub2grub2 wikihttp://grub.enbug.org/FrontPag
开关机安全控制,BIOS引导,GRUB限制操作
hotshortgg的博客
02-16 677
????开关机安全控制调整BIOS引导设置GRUB限制 调整BIOS引导设置 将第一引导设备设为当前系统所在硬盘 禁止从其他设备,如光盘、U盘、网络等引导系统 将安全级别设为setup,并设置管理员密码 GRUB限制 ...
Grub2 开机系统选择界面美化 - 主题修改
Linux知识积累
09-17 2975
一、下载主题文件推荐1:https://www.gnome-look.org/p/1009236/推荐2:https://www.gnome-look.org/p/100...
启动管理-启动引导程序-grub加密
董坤的博客
08-24 550
文章目录前言1. grub加密2. 纯字符界面分辨率调整 前言 grub加密与字符界面分辨率调整是Linux当中的小技巧。 grub加密用着还行,字符界面分辨率调整用着不爽。 1. grub加密 开机的时候在倒数五秒的时候按任意键进入这个界面,在当前虚拟机下只有这一个操作系统,如果虚拟机里安装多个操作系统,有可能是Linux和Windows并存,也有可能安装了两个不同版本的Linux内核,可以在这个界面下来进行选择。到底启动哪一个界面,这就是grub启动引导程序基本功能,也是基本作用,选择到底进入哪一个系统
GRUB命令与系统启动指南
"这篇教程主要介绍了GRUB命令和系统启动过程,适合初学者学习如何使用GRUB引导系统。文中详细讲解了GRUB配置文件、grub.conf文件的解读、GRUB的配置方法、交互性以及常见的除错思路。示例中提到了具体的硬盘分区情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值