> > 1. Самого UEFI перед его загрузкой и испоьнением?
> На интеле потенциально бутгад может. Проблема в том что это подписывается ну вообще совсем не вашим ключом. И стало быть - обороняет систему от вас и вашего софта, ололо. На случай если вы корбут какой удумаете втулить вместо мутной блоботы, например, оно вам неплохо врежет, хаха :)

Зависит от производителя. В идеале процессором аппаратно есть возможность шифрования корневого ключа платформы. Сам корневой ключ платформы, должен генерироваться когда комп стрит уже у пользователя и этим, своим, корневым ключом платформы пользователь подписывает свой UEFI со своими публичными ключами secure boot.

>> 2. Ядро grub с необходимыми модулями крыптографии для расшифровки /boot, публичными ключами grub, модулями grub для проверки подписей и переменными окружения grub?
> Теоретически первую часть сам секурбут, свои компоненты уже grub ессно.

Здесь все целиком должно быть подписано ключом secure boot и проверяет: ядро grub с необходимыми модулями крыптографии для расшифровки /boot, публичными ключами grub, модулями grub для проверки подписей и переменными окружения grub - только secure boot.

Оно все идет одним образом, одним загрузочным файлом, на который ставится одна подпись от ключа secure boot.

>> 5. Процесс #1 init и все остальные исполняемые в системе файлы, библиотеки, настройки и данные доступные только для чтения?
> Это уже епархия ядра и ОС. Для этого в лине уже тоже есть всяческие. Хотите познакомиться с ними сложным методом? Купите флагман на смартфоне и поизучайте как оно OEMа от вас умеет оборонять. А если сможете надуть, резко станете звездой XDA или что там кому по вкусу :)

Есть много но по дефолту, родным в Linux уже 10 лет есть реализация Integrity от IBM в ввиде IMA/EVM. Она имеет свои нюансы, но если их учесть замечательно работает на серверах и рабочих станциях.