protezione del bootloader di Ubuntu tramite TPM

Question

protezione del bootloader di Ubuntu tramite TPM

#1 da (1 voti)
#2 da (1 voti)

5

Attualmente sto lavorando con Ubuntu 16.04, con una CPU Intel che supporta il modulo TPM2.

Sto provando ad indurire il mio boot loader, ho provato ad usare fork di trustedgrub2 che supporta TPM2, capisco che trustedgrub2 al momento non supporta UEFI BIOS quindi sono passato a UEFI-CSM che dovrebbe emulare il BIOS legacy, purtroppo dopo aver installato trustedgrub , il sistema si avvia ancora con GRUB2.

Ho anche provato a usare tboot, ma sembra che non ci sia quasi nessuna documentazione da trovare da nessuna parte.

Le mie domande sono, ci sono dei buoni tutorial per usare / installare trustedgrub2? o forse c'è qualche alternativa alle opzioni sopra per rendere più sicuro il processo di avvio?

Grazie!

boot hardening tpm

posta mmelamud 26.03.2018 - 17:41

fonte

2 risposte

Leggi altre domande sui tag boot hardening tpm

Quanto è sicuro LXD rispetto a Docker? Quali "attacchi temporali" potrebbero eseguire i siti Web utilizzando le ultime date di modifica dei file?

score 1 · Answer 1

Ubuntu supporta Secure Boot . Ciò richiede la modalità solo UEFI. Si prega di disabilitare CSM. Il TPM può essere utilizzato dall'architettura Linux Integrity Measurement .

Back in the day, apparentemente IMA era molto acerbo .
L'avanzamento è stato effettuato .
Sembra che IMA sia compilato in Ubuntu dal 14.04, secondo questa pagina .

Da quello che ho letto, è ancora necessario eseguire alcuni lavori.

score 1 · Answer 2

Ecco i passaggi per eseguire tboot:

Enable EFI booting mode in BIOS setup menu, enable VT-x, VT-d, TPM ,TXT in BIOS setup menu, save and exit
apt-get update
apt-get install tpm-tools
apt-get install mercurial
hg clone http://hg.code.sf.net/p/tboot/code tboot-code
cd tboot-code/tboot
make install
cd ../utils
make install
copy your /sbin/init to /boot
grub-mkconfig -o /boot/grub/grub.cfg
reboot
select tboot from grub boot menu
login as root
run txt-stat, after booting into ubuntu

Preso da qui: link

In realtà, su Ubuntu 18.04.1 funziona così:

sudo txt-stat | grep TRUE 
    senter_done: TRUE
    private_open: TRUE
    locality_1_open: TRUE
    locality_2_open: TRUE
    secrets: TRUE
    lock: TRUE
TXT measured launch: TRUE
secrets flag set: TRUE
TBOOT: TPM nv_locked: TRUE
TBOOT: TPM nv_locked: TRUE