암호화된 부팅 파티션: 암호화된 부팅 파티션의 장점

암호화된 부팅 파티션: 암호화된 부팅 파티션의 장점

Linux 부팅 프로세스와 부팅 파티션 암호화 작동 방식에 대해 자세히 알아보고 싶습니다. 몇 가지 질문이 있습니다.

  • /boot/efiUEFI 시스템에는 또는 에 마운트할 수 있는 ESP 파티션이 있어야 한다는 것을 알고 있습니다 /efi. ESP 파티션에는 부트로더와 커널이 포함되어 있습니다. 제가 가지고 있는 Endeavour OS 시스템에는 /bootIntel 마이크로코드만 포함되어 있습니다. 제가 이해한 바에 따르면 시스템은 먼저 부트로더(제 경우에는 systemd-boot)를 로드한 다음 선택한 커널을 로드합니다. 그렇다면 현재 구성과 일반적인 UEFI 시스템을 기준으로 /boot단독 /efi으로 존재한다면 그 목적은 무엇입니까 ?

  • 그런 다음 시스템을 암호화하고 싶고 Arch Wiki 가이드 "부트 파티션 암호화(GRUB)"를 읽고 있습니다. 이 경우 GRUB 및 ESP는 암호화되지 않습니다. UEFI 시스템에 대한 이 접근 방식의 이점은 무엇입니까? 이제 "정상적인" 구성에서 암호화된 모습은 무엇입니까? ESP에는 또 무엇이 있습니까?

  • 또한 EFISTUB가 무엇인지, 어떻게 작동하는지 이해하려고 노력 중입니다. 내가 아는 바로는 부트로더가 사용되지 않으며 통합 커널 이미지가 ESP 내부에 배치됩니다. 이 경우에도 /boot여전히 필요합니까 ?

답변1

UEFI 시스템이 있는 경우 해당 펌웨어는 ESP로 부팅하려는 항목의 첫 번째 부분을 적어도 찾을 것으로 예상합니다. 첫 번째 부분은 GRUB의 UEFI 버전, 다른 부트로더(예: systemd-boot) 또는 EFISTUB를 사용한 통합 커널 이미지일 수 있습니다.

(Secure Boot를 사용하고 펌웨어에서 내장 Secure Boot 키 변경을 허용하지 않는 경우 shimx64.efi다른 것을 사용하기 전에 먼저 Secure Boot 심( )을 사용해야 합니다. 자체 펌웨어를 사용하도록 펌웨어를 구성할 수 있는 경우 부팅 키를 사용하고 자신의 키로 부트로더와 커널에 자체 서명하면 심이 필요하지 않습니다.

아주 특별한 UEFI 펌웨어가 없으면 ESP는 절대 작동하지 않습니다.암호화됨그렇지 않으면 펌웨어가 이를 이해할 수 없습니다. 그러나 보안 부팅을 사용하면 ESP의 모든 실행 코드가 다음과 같아야 합니다.징후, 따라서 ESP를 심각하게 조작하면 시스템이 부팅되지 않습니다(구현이 올바른 경우).

커널이 있어야 하는 위치는 부트로더로 무엇을 사용하고 있는지에 따라 다릅니다. GRUB를 사용하는 경우 커널은 GRUB이 이해하는 모든 파일 시스템(LVM 또는 클래식 파티션, 암호화 여부)에 있을 수 있습니다. 이를 통해 systemd-boot커널이 ESP에 있어야 한다는 것을 알고 있습니다. EFISTUB의 경우 펌웨어는 적절하게 준비된 커널 파일을 직접 읽도록 지시하므로 분명히 ESP에 있어야 합니다.

GRUB는 일부 형태의 디스크 암호화를 수행할 수 있지만 아직 최신 디스크 암호화 알고리즘을 지원하지 않을 수 있습니다. 또한 스마트 카드나 Yubikey와 같은 보안 장치를 디스크 암호화 키로 사용하려는 경우 보안 장치에 액세스하고 필요한 메시지를 시스템에 제공하는 데 필요한 인프라가 포함된 initramfs 파일이 필요할 수 있습니다. 사용자. 일반적으로 initramfs 파일은 커널과 동일한 위치에 있습니다.

커널(및 필요한 경우 initramfs)을 ESP에 넣으면 별도의 커널이 전혀 필요하지 않을 수 있습니다 /boot(또는 @muru가 언급한 것처럼 ESP를 거기에 설치할 수 있습니다 /boot). 루트 파일 시스템(및 필요한 경우 initramfs)에서 직접 커널을 읽을 수 있는 GRUB를 사용하는 경우에도 마찬가지입니다. 즉, 암호화가 필요하고 GRUB에서 제공하는 암호화 옵션에 만족하는 경우입니다.

그러나 "일부 편의성을 희생하여 절대적인 최대 보안" 옵션은 다음과 같습니다.

  • ESP에는 보안 부팅 심(필요한 경우)과 GRUB만 포함되어 있으며 둘 다 보안 부팅 서명으로 보호됩니다.
  • GRUB는 암호화를 잠금 해제 /boot하고 거기에서 커널과 initramfs를 읽기 위해 비밀번호를 묻는 메시지를 표시합니다(암호화되었지만 최상의 암호화는 아닐 수 있음).
  • initramfs에는 스마트 카드/Yubikey 등을 요청하기 위한 인프라가 포함되어 있습니다. 여기에는 다른 파일 시스템의 잠금을 해제하는 데 사용되는 키가 포함됩니다. 이제 하드웨어 보안 장치 및/또는 커널이 지원하는 가장 뛰어난 최신 암호화 알고리즘을 사용할 수 있습니다. 시스템에 TPM 칩이 포함된 경우 PCR 레지스터를 사용하여 펌웨어나 부팅 프로세스의 이전 구성 요소가 변조되지 않았는지 확인할 수도 있습니다.

관련 정보