Вnetworking.firewall
:
Первое представляет собой список, поэтому допустимо значение [80 81 5900]
. Но последнее представляет собой множество, определяемое следующим образом:
allowedTCPPortRanges = mkOption {
type = types.listOf (types.attrsOf types.int);
default = [ ];
example = [ { from = 8999; to = 9003; } ];
description =
''
A range of TCP ports on which incoming connections are
accepted.
'';
};
If I include Microsoft's keys in my secure boot setup, then any malware which has a Microsoft key can boot my Linux binary. Can I restrict my Linux binary to be booted only by a bootloader signed with my personal key?
Нет. Вы неправильно понимаете цепочку доверия. Более ранние вещи нуждаются в проверке более поздних вещей. Более поздние вещи не могут осмысленно подтвердить более ранние вещи.
I know I can sign the binary itself with my personal key, but that doesn't prevent malware with a different key from booting my binary.
Верно.
If this is impossible, I can still sign the Windows binary with my own key and get rid of Microsoft's keys, right?
Да, и это то, что вам нужно сделать, если вы не хотите, чтобы код, подписанный ключами Microsoft, запускался.