> Спасибо за подробный рассказ. Есть еще пара вопросов.
> 1. А как именно плохой парень подменит загрузочные программы? Что для этого
> надо?

Если /boot не зашифрован, то достаточно загрузиться с внешнего носителя.
Или вытащить жёсткий диск, поправить программы, а потом вернуть его обратно.

> Если поставить пароль на BIOS/UEFI - он сможет это сделать?

Тогда биос спросит пароль при попытке зайти в настройки и поменять загрузочное
устройство. Но остаётся вариант с записью на диск с другого компьютера или
изменение загрузочных программ в тот момент, когда компьютер уже загружен
(например, при помощи какой-нибудь сетевой атаки или приёмов социальной
инженерии).

> Или ему не надо даже входить туда? До какой стадии загрузки
> вообще надо дойти, чтобы подменить загрузчик?

До любой стадии, позволяющей выполнить произвольный код с достаточными
привелегиями для записи в /boot. Либо вытащить диск (см. выше).

> Я слышал есть еще какая-то
> настройка паролем перед GRUB, пока не введешь пароль - не покажется
> окно выбора ОС. Или я щас полный бред сказал? :)

Есть, она так и называется — password. С её помощью можно заблокировать часть
пунктов меню grub и/или запретить редактировать настройки.

> 2. LibreBoot скомпилить сам не смогу, но почему существует всего 3 материнки
> для десктопа, для которых он поддерживается? В чем там серьезный затык?

(тут я немного привру, чтобы упростить, но при этом постараюсь сохранить общий
смысл)

В том, что во время сборки coreboot/libreboot нужно указать режимы работы
контроллера оперативной памяти, тип процессора, чипсет, размер флеш-микросхемы
и ещё несколько (чуть менее важных) параметров. Изменение любой из этих настроек
требует пересборки.

Бинарники, лежащие в релизных версиях libreboot, протестированы на соответствующих
платформах, для них выяснены все эти параметры, и они не меняются от ревизии к
ревизии.

Во время подбора/тестирования этих параметров будут возникать проблемы, приводящие
к невозможности проинициализировать платформу до конца. Потребуется специальное
оборудование — либо ещё один компьютер, подключенный к UART, либо отладочный
EHCI-донгл, подключенный в первый (а надо ещё определить, какой же из них первый)
USB-порт.

Резюмируя; нельзя утверждать, что просто установка libreboot приведёт к защите
платформы от несанкционированной загрузки. Существует риск получения ключей от
/boot из уже загруженной системы (злоумышленник может, получив рута, считать
флеш командой flashrom -r; этого можно избежать вводом ключа от /boot при
каждой загрузке) и подмены libreboot (можно зашить специальный fdt-дескриптор,
запрещающий дальнейшую запись во флеш, либо установить аппаратный переключатель
на ногу !WP микросхемы). SecureBoot подвержен тем же проблемам, но между
различными платформами различаются способы хранения ключей (идеальный случай,
когда ключи хранятся в TPM, запись в который блокируется перед запуском
загрузчика, но такого я ещё не встречал) и процедуры их проверки. Получается
security through obscurity: на некоторых платформах SecureBoot отключается
изменением значения всего одной переменной в nvram; из Windows это можно
сделать используя документированные вызовы API.