Как защитить этап загрузки Linux - разделы MBR, GPT, EFI и GRUB от модификации?

Question

Я хочу включить защиту записи для MBR и GPT (PMBR для устаревшей поддержки + таблица деталей) в Linux! В любом случае!

Мои параметры:

• Пишет ядро ​​сам перехватывает?

• Включить существующие модули ядра?

• Изменить код GRUB?

• Существующая магия в помощниках GRUB или grub.cfg, поэтому update-grub будет перенаправлять на / dev / null?

• Существующие программы?

• Какой-нибудь сложный демон SysV или systemd?

Также я хочу предотвратить изменения в разделах EFIи конфигурация GRUB. Есть ли способ предотвратить обновление GRUB? Удаление пакетов GRUB обычно приводит к нарушению зависимостей, обновление таких пакетов восстанавливает двоичный файл grub-update, поэтому удаление или замена не работает.

Answer 1

Если в качестве операционной системы будет работать только Linux - вам следует изменить драйверы дисковых устройств ядра Linux, а не такие приложения, как grub, поскольку драйверы Linux взаимодействуют напрямую с диском, а Linux является самым низким уровнем связи с физическим диском. Такие приложения, как grub или fdisk, не имеют прямого доступа к физическому диску и используют драйверы устройств Linux для записи кода mbr, изменения таблицы разделов и т. Д.