grub 2.0安全启动校验镜像逻辑

grub 2.0安全启动校验镜像逻辑

grub中会使用验证器来校验镜像的正确性。在 GNU GRUB 中，一旦你注册了你的验证器，它将自动用于所有打开的文件。这是一个基本的步骤来使用你的验证器：

注册验证器：首先，你需要使用 grub_verifier_register 函数来注册你的验证器。这通常在你的模块的初始化函数中完成。
打开文件：当你打开一个文件时，GRUB 会自动调用你的验证器。这是通过 grub_file_open 函数完成的，它接受一个文件名和一个文件类型作为参数。
读取文件：当你读取文件的内容时，GRUB 会调用你的验证器的 write 函数。这是通过 grub_file_read 函数完成的，它接受一个文件指针，一个缓冲区和一个大小作为参数。
关闭文件：当你完成文件读取后，你需要关闭文件。这是通过 grub_file_close 函数完成的，它接受一个文件指针作为参数。在这个函数被调用时，如果你的验证器有一个 fini 函数，它也会被调用。

验证器关键数据结构

struct grub_file_verifier
{
  struct grub_file_verifier *next;
  struct grub_file_verifier **prev;

  const char *name;

  /*
   * Check if file needs to be verified and set up context.
   * init/read/fini is structured in the same way as hash interface.
   */
  grub_err_t (*init) (grub_file_t io, enum grub_file_type type,
              void **context, enum grub_verify_flags *flags);

  /*
   * Right now we pass the whole file in one call but it may
   * change in the future. If you insist on single buffer you
   * need to set GRUB_VERIFY_FLAGS_SINGLE_CHUNK in verify_flags.
   */
  grub_err_t (*write) (void *context, void *buf, grub_size_t size);

  grub_err_t (*fini) (void *context);
  void (*close) (void *context);

  grub_err_t (*verify_string) (char *str, enum grub_verify_string_type type);
};

grub 2.0中的验证器

struct grub_file_verifier shim_lock_verifier =
  {
    .name = "shim_lock_verifier",
    .init = shim_lock_verifier_init,
    .write = shim_lock_verifier_write
  };

struct grub_file_verifier grub_pubkey_verifier =
  {
    .name = "pgp",
    .init = grub_pubkey_init,
    .fini = grub_pubkey_fini,
    .write = grub_pubkey_write,
    .close = grub_pubkey_close,
  };

struct grub_file_verifier grub_tpm_verifier = {
  .name = "tpm",
  .init = grub_tpm_verify_init,
  .write = grub_tpm_verify_write,
  .verify_string = grub_tpm_verify_string,
};

struct grub_file_verifier lockdown_verifier =
  {
    .name = "lockdown_verifier",
    .init = lockdown_verifier_init,
  };

grub校验逻辑核心

注册了grub_file_verifier 后就是调用，grub 会在grub_verifiers_open里面调用所有的grub_file_verfiy, 核心流程如下：

grub_verifiers_open (grub_file_t io, enum grub_file_type type)
	grub_file_read
	ver->write
	ver->fini
	ver->close

grub_verifiers_open有会注册到grub_file_filters中，是个全局变量。

grub_file_filter_t grub_file_filters[GRUB_FILE_FILTER_MAX];

grub_verifiers_open中有这么段逻辑，应该是检查所有verifiers是否开启的开关。

  FOR_LIST_ELEMENTS(ver, grub_file_verifiers)
    {
        enum grub_verify_flags flags = 0;
        err = ver->init (io, type, &context, &flags);
        if (err)
            goto fail_noclose;
        if (flags & GRUB_VERIFY_FLAGS_DEFER_AUTH)
        {
            defer = 1;
            continue;
        }
        if (!(flags & GRUB_VERIFY_FLAGS_SKIP_VERIFICATION))
            break;
    }