{"id":2513,"date":"2022-10-27T20:54:16","date_gmt":"2022-10-28T02:54:16","guid":{"rendered":"https:\/\/www.lastdragon.net\/?p=2513"},"modified":"2022-10-27T21:20:59","modified_gmt":"2022-10-28T03:20:59","slug":"debian-11-secure-boo-efi","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=2513","title":{"rendered":"Debian 11 Secure Boo EFI"},"content":{"rendered":"\n<p><strong>\u00bf Que es el boot seguro ?<\/strong><\/p>\n\n\n\n<p>Es un arranque firmado por certificados X509, justo como los certificados que hacen el HTTPS, estos certificados se usan para firmar los binarios de arranque como el GRUB y el Kernel Linux. Esto garantiza que no ha sido modificado o se ha instalado un kernel para suplantar nuestro kernel actual con posibles backdoor as\u00ed como virus de boot que cargan antes de que cargue el c\u00f3digo del kernel<\/p>\n\n\n\n<p><strong>Verificando si estamos en modo boot seguro o sin seguridad<\/strong><\/p>\n\n\n\n<p>mokutil &#8211;sb-state<\/p>\n\n\n\n<p><strong>Crear los certificados<\/strong><\/p>\n\n\n\n<p>el certificado de plataforma y el certificado base de datos de kernel o binarios que arrancan<\/p>\n\n\n\n<p>Certificado de plataforma, para activar el modo Secure BOOT<\/p>\n\n\n\n<p><br \/>openssl req -new -x509 -newkey rsa:2048 -subj &#8220;\/CN=Last Dragon Plataforma\/&#8221; -keyout PK.key -out PK.crt -days 3650 -nodes -sha256<\/p>\n\n\n\n<p>Certificado de base de datos ( DB ) para firmar los binarios de arranque<\/p>\n\n\n\n<p>openssl req -new -x509 -newkey rsa:2048 -subj &#8220;\/CN=Last Dragon Cert boot en la base de datos\/&#8221; -keyout db.key -out db.crt -days 3650 -nodes -sha256<\/p>\n\n\n\n<p><strong>Convertir los archivos CRT a formato DER para instalarlo en el EFI BIOS del PC<\/strong><\/p>\n\n\n\n<p>openssl x509 -outform DER -in PK.crt -out PK.der<br \/>openssl x509 -outform DER -in db.crt -out db.der<\/p>\n\n\n\n<p>Los archivos DER pueden ser almacenados temporalmente en la partici\u00f3n EFI del disco duro para que el BIOS EFI tenga acceso a estos archivos, tambi\u00e9n podr\u00eda ser guardados en una memoria USB para el mismo prop\u00f3sito<\/p>\n\n\n\n<p><strong>Firmando e GRUB<\/strong><\/p>\n\n\n\n<p>sbsign &#8211;key db.key &#8211;cert db.crt &#8211;output \/boot\/efi\/EFI\/debian\/grubx64.efi \/boot\/efi\/EFI\/debian\/grubx64.efi<br \/>sbsign &#8211;key db.key &#8211;cert db.crt &#8211;output \/boot\/efi\/EFI\/debian\/shimx64.efi \/boot\/efi\/EFI\/debian\/shimx64.efi<\/p>\n\n\n\n<p><strong>Firma de Kernel<br \/><\/strong>Debian 11 viene con kernel firmados para funcionar con su GRUB por lo que muy probablemente no sea necesario firmar el kernel que incluye Debian, sin embargo cualquier kernel extranjero o compilado desde su fuentes de www.kernel.org deber\u00e1 ser firmado o no podr\u00e1 cargar<\/p>\n\n\n\n<p>sbsign &#8211;key db.key &#8211;cert db.crt &#8211;output \/boot\/vmlinuz-6.0.5 \/boot\/vmlinuz-6.0.5<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bf Que es el boot seguro ? Es un arranque firmado por certificados X509, justo como los certificados que hacen el HTTPS, estos certificados se usan para firmar los binarios de arranque como el GRUB y el Kernel Linux. Esto garantiza que no ha sido modificado o se ha instalado un kernel para suplantar nuestro&#8230;<\/p>\n","protected":false},"author":1,"featured_media":2518,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-2513","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-consultoria-y-manuales"],"_links":{"self":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/2513","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2513"}],"version-history":[{"count":3,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/2513\/revisions"}],"predecessor-version":[{"id":2519,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/2513\/revisions\/2519"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/media\/2518"}],"wp:attachment":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2513"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2513"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2513"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}