asegurando el cargador de arranque de Ubuntu usando TPM

Question

asegurando el cargador de arranque de Ubuntu usando TPM

#1 de FPU (1 votos)
#2 de odo (1 votos)

5

Actualmente estoy trabajando con Ubuntu 16.04, con una CPU Intel que admite el módulo TPM2.

Estoy tratando de fortalecer mi cargador de arranque. Intenté usar la fork trustedgrub2 que es compatible con TPM2, entiendo que trustedgrub2 actualmente no es compatible con el BIOS UEFI, así que cambié a UEFI-CSM, que debería emular el BIOS heredado, desafortunadamente después de instalar el software. , el sistema aún arranca con el GRUB2.

También intenté usar tboot, pero parece que casi no hay documentación que se pueda encontrar en ninguna parte.

Mis preguntas son, ¿hay algún buen tutorial para usar / instalar trustedgrub2? ¿O tal vez hay alguna alternativa a las opciones anteriores para hacer que el proceso de arranque sea más seguro?

¡Gracias!

hardening tpm boot

pregunta mmelamud 26.03.2018 - 17:41

fuente

2 respuestas

Lea otras preguntas en las etiquetas hardening tpm boot

¿La vulnerabilidad de Cisco es específica de Cisco o está en alguna biblioteca de uso común? ¿Qué tan seguro es el LXD comparado con Docker?

score 1 · Answer 1

Ubuntu admite el arranque seguro . Esto requiere el modo solo UEFI. Por favor deshabilite CSM. El TPM puede ser utilizado por la Arquitectura de medición de integridad de Linux .

En el pasado, al parecer, IMA era muy inmadura .
Se han realizado progresos .
Parece que IMA está compilado en Ubuntu desde 14.04, de acuerdo con esta página .

Por lo que he estado leyendo, aún quedan trabajos por hacer.

score 1 · Answer 2

Aquí están los pasos para ejecutar tboot:

Enable EFI booting mode in BIOS setup menu, enable VT-x, VT-d, TPM ,TXT in BIOS setup menu, save and exit
apt-get update
apt-get install tpm-tools
apt-get install mercurial
hg clone http://hg.code.sf.net/p/tboot/code tboot-code
cd tboot-code/tboot
make install
cd ../utils
make install
copy your /sbin/init to /boot
grub-mkconfig -o /boot/grub/grub.cfg
reboot
select tboot from grub boot menu
login as root
run txt-stat, after booting into ubuntu

Tomado de aquí: enlace

En realidad, en Ubuntu 18.04.1 funciona así:

sudo txt-stat | grep TRUE 
    senter_done: TRUE
    private_open: TRUE
    locality_1_open: TRUE
    locality_2_open: TRUE
    secrets: TRUE
    lock: TRUE
TXT measured launch: TRUE
secrets flag set: TRUE
TBOOT: TPM nv_locked: TRUE
TBOOT: TPM nv_locked: TRUE