grub中会使用验证器来校验镜像的正确性。在 GNU GRUB 中,一旦你注册了你的验证器,它将自动用于所有打开的文件。这是一个基本的步骤来使用你的验证器:
注册验证器:首先,你需要使用 grub_verifier_register 函数来注册你的验证器。这通常在你的模块的初始化函数中完成。
打开文件:当你打开一个文件时,GRUB 会自动调用你的验证器。这是通过 grub_file_open 函数完成的,它接受一个文件名和一个文件类型作为参数。
读取文件:当你读取文件的内容时,GRUB 会调用你的验证器的 write 函数。这是通过 grub_file_read 函数完成的,它接受一个文件指针,一个缓冲区和一个大小作为参数。
关闭文件:当你完成文件读取后,你需要关闭文件。这是通过 grub_file_close 函数完成的,它接受一个文件指针作为参数。在这个函数被调用时,如果你的验证器有一个 fini 函数,它也会被调用。
struct grub_file_verifier
{
struct grub_file_verifier *next;
struct grub_file_verifier **prev;
const char *name;
/*
* Check if file needs to be verified and set up context.
* init/read/fini is structured in the same way as hash interface.
*/
grub_err_t (*init) (grub_file_t io, enum grub_file_type type,
void **context, enum grub_verify_flags *flags);
/*
* Right now we pass the whole file in one call but it may
* change in the future. If you insist on single buffer you
* need to set GRUB_VERIFY_FLAGS_SINGLE_CHUNK in verify_flags.
*/
grub_err_t (*write) (void *context, void *buf, grub_size_t size);
grub_err_t (*fini) (void *context);
void (*close) (void *context);
grub_err_t (*verify_string) (char *str, enum grub_verify_string_type type);
};
struct grub_file_verifier shim_lock_verifier =
{
.name = "shim_lock_verifier",
.init = shim_lock_verifier_init,
.write = shim_lock_verifier_write
};
struct grub_file_verifier grub_pubkey_verifier =
{
.name = "pgp",
.init = grub_pubkey_init,
.fini = grub_pubkey_fini,
.write = grub_pubkey_write,
.close = grub_pubkey_close,
};
struct grub_file_verifier grub_tpm_verifier = {
.name = "tpm",
.init = grub_tpm_verify_init,
.write = grub_tpm_verify_write,
.verify_string = grub_tpm_verify_string,
};
struct grub_file_verifier lockdown_verifier =
{
.name = "lockdown_verifier",
.init = lockdown_verifier_init,
};
注册了grub_file_verifier 后就是调用,grub 会在grub_verifiers_open里面调用所有的grub_file_verfiy, 核心流程如下:
grub_verifiers_open (grub_file_t io, enum grub_file_type type)
grub_file_read
ver->write
ver->fini
ver->close
grub_verifiers_open有会注册到grub_file_filters中,是个全局变量。
grub_file_filter_t grub_file_filters[GRUB_FILE_FILTER_MAX];
grub_verifiers_open中有这么段逻辑,应该是检查所有verifiers是否开启的开关。
FOR_LIST_ELEMENTS(ver, grub_file_verifiers)
{
enum grub_verify_flags flags = 0;
err = ver->init (io, type, &context, &flags);
if (err)
goto fail_noclose;
if (flags & GRUB_VERIFY_FLAGS_DEFER_AUTH)
{
defer = 1;
continue;
}
if (!(flags & GRUB_VERIFY_FLAGS_SKIP_VERIFICATION))
break;
}