我可以信任 initramfs 和 vmlinuz 映像嗎？

我正在使用以下分區方案在筆記型電腦上執行 Arch Linux 安裝：

• /dev/sda1是我的/boot分區，也是我的 ESP
• /dev/sda2是我的 LUKS 加密根分區

我使用 systemd-boot 作為我的引導程序。

當我考慮此設置的安全性時，我變得偏執，因為 vmlinuz 和 initramfs 映像可以修改，因為它們儲存在未加密的分區上。我擔心的是，這些圖像可能會被攻擊者修改過的惡意圖像所取代。除了鎖定 UEFI 和禁止從 USB 驅動器啟動之外，我沒有阻止啟動修改後的映像的想法。

我的問題是：

1. 這是一個真正的問題，還是已經有針對此的安全措施？
2. 如果沒有，我可以做些什麼來檢測啟動時未經授權的更改（例如簽名圖像）？
3. 使用這種設置時是否還有其他安全注意事項？

編輯：

4. 我的筆記型電腦中有一個 TPM。有什麼我可以做的嗎？

我擔心的是，這些圖像可能會被攻擊者修改過的惡意圖像所取代。

是的，他們可以。為防止這種情況，您可以自己從可移動驅動器啟動（離開電腦時將其移除），或者讓韌體安全地檢查啟動二進製文件（如UEFI 安全啟動嘗試做的那樣）。

這仍然不會阻止攻擊者安裝鍵盤記錄器或修改系統的韌體。使用簽名引導方法，您還需要確保攻擊者無法修改電腦接受的簽名密鑰。

使用這種設置時是否還有其他安全注意事項？

冷啟動攻擊非常糟糕。不要讓您的筆記型電腦在開機時被盜。

此外，嚴格來說，加密本身並不意味著身份驗證，全盤加密通常不會對數據進行身份驗證，因為這需要更改數據大小（添加身份驗證標籤）。缺乏身份驗證會導致延展性，延展性的程度取決於加密算法（CTR 和 CBC 模式不好，並且提到了針對基於 CBC 的磁碟加密的實際攻擊）。

因此，如果您足夠偏執，您可能不應該在攻擊者使用筆記型電腦後使用它。但這一切都取決於您的威脅模型、數據的價值以及您期望攻擊者的先程序度。

引用自：https://unix.stackexchange.com/questions/463079