推荐开源项目：shim - 首阶段UEFI引导加载器

推荐开源项目：shim - 首阶段UEFI引导加载器

项目地址:https://gitcode.com/gh_mirrors/sh/shim

1、项目介绍

shim 是一款轻量级的EFI应用程序，它的主要任务是在启动过程中尝试打开并执行另一款应用。特别是在Secure Boot启用的情况下，如果目标二进制文件未使用合适的密钥签名，shim 能够通过内置证书验证二进制文件，并在成功后重新定位和执行该文件。此外，它还提供了一个协议，使得第二阶段引导加载器能够进行类似的二进制验证。

2、项目技术分析

• 安全引导支持：当Secure Boot功能开启时，shim 利用EFI的LoadImage() 和 StartImage() 函数尝试加载和执行安全的二进制文件。
• 内建证书验证：在标准方式失败后，shim 将对目标二进制文件进行内建证书验证，只有在签名有效且未被禁止的情况下才会继续执行。
• 系统协议安装：shim 安装了一个协议，允许第二个引导加载器进行类似的安全验证，其入口点遵循SysV ABI而非MSABI。
• TPM支持：在支持TPM芯片的系统上，shim 可以扩展PCR，存储所加载目标的摘要信息，增强了系统的安全性。

3、项目及技术应用场景

shim 适用于需要确保安全启动环境的操作系统部署，特别是那些依赖UEFI固件的设备，如服务器、台式机和笔记本电脑。它可以用于：

• Linux发行版的安装：许多基于Linux的发行版利用shim 来保证在Secure Boot模式下的安全启动。
• 企业数据中心：在要求严格安全性的数据中心环境中，shim 可以防止恶意软件篡改引导过程。
• 个人计算机安全：对于希望增强启动安全性的普通用户，shim 是一个理想的选择。

4、项目特点

• 灵活性：用户可以通过提供自己的DER编码公共证书自定义构建。
• 可测试性：有一份详细的测试计划可供参考，确保项目的可靠性和稳定性。
• 安全通知机制：项目团队提供专门的安全漏洞报告邮箱，保证了及时的问题响应与解决。

如果你正在寻找一个能增强UEFI系统启动安全性的解决方案，那么shim 绝对值得你的关注和使用。现在就查看BUILDING指南，开始构建属于你的安全引导加载器吧！

shim UEFI shim loader 项目地址: https://gitcode.com/gh_mirrors/sh/shim