Поддержание целостности раздела / boot
Предположение: это ваша система и ваши данные.
Вам просто нужно взвесить риск случайного стирания данных или поломки вашей ОС по сравнению с простотой выполнения действий, не вводя каждый раз sudo .
Я обычно вхожу в систему и работаю как root на моих домашних серверах, потому что я могу это проще.
Вам скажут, что вы можете запустить ядерное оружие, если не пройдете через sacro-saint sudo , но на самом деле сегодня люди имеют root полномочия (*) на множество устройств (ваш телевизор, ваш телефон, ваш тостер, ваша Windows (как вы упомянули)). Linux здесь ничем не отличается, хотя многие думают иначе.
Кстати UAC не был смоделирован после sudo , поскольку его роль человека (помимо того, что делает вашу жизнь невыносимой), гарантирует, что вы будете видеть, когда вредоносное ПО хочет что-то сделать от вашего имени.
(*) корневые полномочия определяются как способность уничтожать важные данные. Поговорка «великая сила дает великие проблемы» (или что бы там ни было) применимо.
Если мое предположение неверно , тогда вам все равно нужно взвесить вышеупомянутый риск, но есть другие переменные (ваша работа, фотографии, сделанные вашим супругом и хранящиеся на том же ноутбуке, ...)
{{ 1}}Debian на самом деле поддерживает безопасную загрузку (вы можете использовать утилиты для самостоятельной подписи ядер -единственная сложная часть — это установка ключей самоподписывания -, что зависит от реализации UEFI ).
Я запускаю Debian 9 с включенной безопасной загрузкой и самоподписанными -ключами. Это, безусловно, может защитить от тривиальных атак типа Evil Maid -, таких как подключение загрузочного USB-накопителя для захвата данных из вашей системы или установки вредоносного ПО на незашифрованные -разделы. Но это вряд ли предел возможностей Злой Девы :, если вы серьезно относитесь к этому, вы также должны подумать о физической безопасности шасси системы.
Для «ретроактивных» проверок целостности вам потребуется чип TPM и загрузчик, который будет использовать его регистры PCR. Эти регистры не могут быть просто установлены на любое значение :, когда новые данные передаются в эти регистры, микросхема TPM сама вычислит хэш старого значения регистра + ввод данных и назначит это как новое значение регистра. регистр. Системная прошивка заполнит первые несколько регистров PCR хэшами самой прошивки, текущими настройками прошивки и первым фрагментом загрузочного кода, который фактически использовался. После этого управление будет передано этому загрузочному коду.
Если вы использовали загрузчик, который аналогичным образом записывает хэши файлов ядра и initramfs, фактически загруженных в регистры PCR, вы могли бы сверить значения PCR с набором «заведомо исправных» значений, хранящихся в зашифрованной части диска.,и отображать предупреждение, если текущие значения не будут соответствовать известному -хорошему состоянию. Ядро также имеет параметр CONFIG _IMA, который при активации заставляет ядро использовать один регистр PCR TPM для хранения хэшей всего, что оно загрузило. (Хэш хэшей, так как TPM не особенно быстр. :Отправка полной копии всех загруженных данных в TPM для хэширования может значительно замедлить процесс загрузки.)
Конечно, тогда вам придется обновлять известные -хорошие значения каждый раз, когда вы обновляете любую часть системы, которая хешируется в PCR, иначе вы получите ложную тревогу. При установке обновления системы (, например. ядро с исправлением безопасности )трудно заранее предсказать, какими будут новые «хорошие» значения PCR, поэтому вам, возможно, придется установить обновление, согласиться с тем, что следующая загрузка вызовет сигнал тревоги, а затем записать новое «хорошее» состояние.
Несколько лет назад, когда я экспериментировал с TPM PCR, это была система с устаревшей прошивкой BIOS. С помощью TrustedGRUB (в основном версии GRUB Legacy )с поддержкой TPM -я смог реализовать тип проверки, описанный в предыдущем абзаце. Я не уверен, есть ли загрузчик Linux UEFI с поддержкой TPM, поэтому вы можете не получить полного охвата PCR ранней системы, если только вы не загружаетесь, используя только встроенный в ядро -загрузчик-заглушку UEFI (, поэтому прошивка в конечном итоге запишет хеш самого ядра, а не только загрузчика ).