jackar's questions

我的nitramfs环境中有一个正在运行的dropbear-initramfs服务器，但我无法让它显示横幅。以下内容工作正常：/etc/dropbear/initramfs/dropbear.conf

...
DROPBEAR_OPTIONS="-I 60 -p 22 -j -k -s -c cryptroot-unlock"
...

但是，指定 banner-file 会导致 dropbear 无法启动，即使/etc/banner&/etc/dropbear/initramfs/banner文件存在且已填充（我甚至尝试打开+x位）

...
DROPBEAR_OPTIONS="-I 60 -p 22 -j -k -s -b /etc/banner -c cryptroot-unlock"
...

使用 更新 initramfsupdate-initramfs -u并检查lsinitramfs /initrd.img | grep banner显示没有横幅文件。重新启动导致 dropbear 无法启动，端口保持关闭状态。我已经验证了这一单一更改是导致 dropbear 无法启动的原因。

我正在运行带有dropbear-initramfs/stable 的Debian 12 ，现在版本是 2022.83-1+deb12u2 。在我之前的 Arch 安装中，只需将其包含在DROPBEAR_OPTIONS中就足以用横幅文件填充 initrd。我是否遗漏了什么？-b /etc/banner

使用全盘加密时，/boot通常需要一个未加密的分区来存储引导加载程序和预引导环境。

这些initcpio或initramfs图像需要在解密之前加载，因此它们可以被（邪恶女仆）攻击者访问，攻击者可以用自己的替换它们，或偷偷修改它们以替换包含的ssh服务器或tty控制台，从而将解密密码/密钥泄露给外界。

防止（或检测）篡改内容的理想方法是什么/boot？滚动我们自己的签名密钥，对/boot图像进行签名，并希望主板实现的 BIOS、安全启动和安全密码中没有允许（邪恶女仆）攻击者注册他们自己的密钥的错误？

initcpio当我们检测到系统已解锁并由不正确的签名加载/使用不正确的签名时，是否使用 PGP 对图像进行签名、清空内存并停止系统initramfs？

即使是 TPM 工具（如 Clevis）也只能在系统设置并运行后提供保护。清除 TPM 后（例如固件升级后），如何确保信任？

/boot或者每次我们想要在断电后启动系统时，唯一可靠的保护是否是从外部提供我们自己的保护？