Linuxブートプロセスとブートパーティション暗号化の仕組みについて詳しく知りたいです。いくつかの質問があります。
/boot/efi
UEFIシステムには、またはにマウントできるESPパーティションが必要です/efi
。 ESPパーティションにはブートローダとカーネルが含まれています。私が持っているEndeavour OSシステムには/boot
Intelマイクロコードのみが含まれています。私が理解したように、システムは最初にブートローダ(私の場合はsystemd-boot)をロードし、次に選択したカーネルをロードします。それでは、現在の構成と一般的なUEFIシステムに基づいて/boot
単独/efi
で存在する場合、その目的は何ですか?その後、システムを暗号化したいと思い、Arch Wikiガイドの「ブートパーティション暗号化(GRUB)」を読んでいます。この場合、GRUB と ESP は暗号化されません。 UEFIシステムへのこのアプローチの利点は何ですか?今、「通常の」構成で暗号化された外観は何ですか? ESPには何がありますか?
また、EFISTUBとは何か、どのように機能するのかを理解しようとしています。私が知っているのはブートローダを使用せず、統合カーネルイメージがESPの内部に配置されていることです。この場合でも
/boot
まだ必要ですか?
ベストアンサー1
UEFIシステムがある場合、そのファームウェアはESPで起動したいエントリの最初の部分を少なくとも見つけることを期待します。最初の部分は、GRUBのUEFIバージョン、他のブートローダ(たとえばsystemd-boot
)、またはEFISTUBを使用した統合カーネルイメージです。
(Secure Bootを使用していてファームウェアで内蔵Secure Bootキーの変更を許可しない場合は、他のものを使用するshimx64.efi
前に最初にSecure Bootシム()を使用する必要があります。自分のキーでブートローダとカーネルに自己署名すれば、シムは必要ありません。
非常に特別なUEFIファームウェアがなければ、ESPは決して機能しません。暗号化そうしないと、ファームウェアはそれを理解できません。ただし、セキュアブートでは、ESPのすべての実行コードは次のようになります。兆候したがって、ESPを厳しく操作するとシステムが起動しません(実装が正しい場合)。
カーネルが必要な場所は、ブートローダとして何を使用しているかによって異なります。 GRUBを使用している場合、カーネルはGRUBが理解しているすべてのファイルシステム(LVMまたはクラシックパーティション、暗号化のいずれか)に存在できます。これにより、systemd-boot
カーネルがESPになければならないことがわかります。 EFISTUBの場合、ファームウェアは適切に準備されたカーネルファイルを直接読み取るように指示するので、明らかにESPに存在する必要があります。
GRUBはいくつかの形式のディスク暗号化を実行できますが、まだ最新のディスク暗号化アルゴリズムをサポートしていない可能性があります。また、スマートカードやYubikeyなどのセキュリティデバイスをディスク暗号化キーとして使用する場合は、セキュリティデバイスにアクセスし、必要なメッセージをシステムに提供するために必要なインフラストラクチャを含むinitramfsファイルが必要になる場合があります。ユーザー。通常、initramfs ファイルはカーネルと同じ場所にあります。
カーネル(および必要に応じてinitramfs)をESPに入れると、別のカーネルがまったく必要なくなる可能性があります/boot
(または@muruが述べたように、ESPをそこにインストールできます/boot
)。ルートファイルシステム(および必要に応じてinitramfs)から直接カーネルを読み取ることができるGRUBを使用している場合も同様です。つまり、暗号化が必要で、GRUBが提供する暗号化オプションに満足している場合です。
ただし、「一部の利便性を犠牲にして絶対最大セキュリティ」オプションは次のとおりです。
- ESPには、セキュアブートシム(必要な場合)とGRUBのみが含まれており、両方ともセキュアブートシグネチャで保護されています。
- GRUBは暗号化のロックを解除し、
/boot
そこからカーネルとinitramfsを読み取るためにパスワードを求めるメッセージを表示します(暗号化されていますが、最高の暗号化ではないかもしれません)。 - initramfsには、スマートカード/ Yubikeyなどを要求するためのインフラストラクチャが含まれています。これには、他のファイルシステムのロックを解除するために使用されるキーが含まれます。これで、ハードウェアセキュリティデバイスおよび/またはカーネルがサポートする最も優れた最新の暗号化アルゴリズムを使用できるようになりました。システムにTPMチップが含まれている場合は、PCRレジスタを使用して、ファームウェアまたはブートプロセスの以前のコンポーネントが変調されていないことを確認することもできます。