35、保障系统安全：从启动过程到镜像部署

保障系统安全：从启动过程到镜像部署

1. 启动、BIOS与固件安全

1.1 启动系统组件深度剖析

当开启Linux系统时，其背后有着一系列复杂的操作。现代x86_64平台大多采用统一可扩展固件接口（UEFI）BIOS，它是操作系统与硬件之间的重要桥梁；而旧平台则使用特定厂商或传统的BIOS类型。以下是传统BIOS与UEFI BIOS的对比：
| 关注点 | 传统BIOS | UEFI BIOS |
| — | — | — |
| 标准化 | 各厂商有自己的特性/功能 | 行业标准功能，与厂商无关 |
| 数字签名 | 无 | 安全启动 |
| 分区表支持 | 仅支持MBR分区表 | 增加了对GUID分区表的支持 |
| 平台 | 有限 | x86、X86_64、ARM、ARM64、PowerPC等 |
| 模块化 | 无 | 模块化 - 厂商可添加额外支持（如网络、存储等） |

系统启动始于按下电源按钮，随后固件BIOS/UEFI启动，进行加电自检（POST）。自检完成后，它会搜索并启动主引导记录（MBR）。MBR启动引导加载程序（如GRUB2），GRUB2加载定义的内核可执行文件，接着Initramfs开始工作，处理解密、软件RAID和文件系统加载等任务。最后，根文件系统加载完成，systemd启动，加载其他文件系统并启动所有启用的网络功能和应用程序服务，至此，Linux系统成功启动。

graph LR
    A[按下电源按钮] --> B[固件BIOS/UEFI启动]
    B --> C[POST自检]