最近の検索
検索オプション
そもそも /boot を暗号化するのってメリットが感じられない (カジュアルな改竄を阻止できる程度では?)
あーいや、カーネルコマンドラインとか initramfs とかを隠蔽できるのか。
カーネルコマンドラインがちゃんと隠蔽できていて変な構成にしていれば、ワンチャン悪意あるブートパーティション作成が難しくできる?
特定のオプションがないと起動しないとか……
たとえば kernel built-in で自作モジュールを入れて、特定のカーネルコマンドラインオプションが存在しなかった場合に panic させるなどがある (過激)
でもカーネルが動くようになった時点でバイナリがメモリに乗ってるということだし、普通に解析したりデバッガに乗せたりすればその程度のチェックは簡単にバイパスできそうだよなぁ。
セキュリティ向上にはならない気がしてきた