Можно ли загрузить унифицированный образ ядра как Xen Dom0 с UEFI Secure Boot? - PullRequest
1 голос
/ 13 апреля 2020

Я пытаюсь настроить Xen Host таким образом, чтобы каждый шаг до загрузки ядра Dom0 Linux проходил проверку безопасной загрузки.

Без Xen этого можно было бы достичь, подписав унифицированный образ ядра содержит параметры ядра, initrd и ядра командной строки в одном двоичном файле EFI.

Подписание только двоичного файла EFI Xen бесполезно, поскольку файл конфигурации ядра, initrd и Xen может быть изменен без влияния на безопасную загрузку.

При загрузке через Shim Xen проверяет ядро ​​Dom0 и initrd с использованием протокола Shim, но файл конфигурации Xen, содержащий параметры командной строки ядра, не проверяется, поэтому злоумышленник может изменить эти параметры.

tklengyel / xen-uefi исправляет исходный код Xen для измерения файла конфигурации Xen в регистр PCR. В этом нет необходимости, если подписанный двоичный файл ядра, загружаемый Xen, включает параметры командной строки initrd и kernel, а все остальные параметры, указанные в файле конфигурации Xen, игнорируются.

Есть ли способ достичь этого?

...