The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Debian тестирует поддержку UEFI Secure Boot

08.01.2019 07:46

Разработчики Debian предложили протестировать реализацию поддержки технологии верифицированной загрузки (UEFI Secure Boot), развиваемую для выпуска Debian 10. Поддержку Secure Boot предлагается оценить пользователям Debian unstable (Sid), воспользовавшись временным проверочным сертификатом, которым подписан образ ядра (данный сертификат требуется импортировать в качестве MOK (Machine Owner Key)).

Напомним, что изначально поддержка Secure Boot ожидалась в Debian 9, но её не успели стабилизировать до релиза и отложили до следующего значительного выпуска дистрибутива. Для обеспечения работы Secure Boot в релизе Debian 10 будет задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft, в сочетании с заверением ядра и загрузчика grub собственным сертификатом проекта (shim выступает как прослойка для использования дистрибутивом собственных ключей). Подобное решение также применяется в RHEL, SUSE, Fedora, Ubuntu и многих других дистрибутивах Linux.

  1. Главная ссылка к новости (https://henrich-on-debian.blog...)
  2. OpenNews: Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
  3. OpenNews: В Oracle Linux выявлены серьёзные проблемы в реализации UEFI Secure Boot
  4. OpenNews: Добавление в systemd загрузчика для UEFI Secure Boot и другие планы на будущее
  5. OpenNews: Линус Торвальдс раскритиковал действия Red Hat по продвижению поддержки UEFI Secure Boot с ключами Microsoft
  6. OpenNews: Обзор отличий UEFI Secure Boot загрузчика Shim и решения от Linux Foundation
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49916-debian
Ключевые слова: debian, uefi, secureboot
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (87) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонис (?), 08:51, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    А в чем польза secure boot? И есть ли она вообще?
     
     
  • 2.2, Аноним (2), 08:53, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +18 +/
    > заверенный цифровой подписью от компании Microsoft

    Для Microsoft - конечно есть польза.

     
     
  • 3.39, Аноним (-), 14:34, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Сначала CoC, теперь это... А что дальше? Я видится здесь M$ EEE.
     
     
  • 4.50, Имя (?), 15:30, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Скатится как Мозилла. Не моментально, но результат немного предсказуем.
     
  • 2.9, Аноним (9), 09:58, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какой именно секюрбут? В понятиях redhat это две разные техники одна из которых подпись ключами microsoft.
     
  • 2.12, ryoken (ok), 10:12, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не, нету. Для обычного юзера, кроме разве что знаний, что у него основные части ОСи кем-то там подписаны. И опять же - в терминах намеренная ошибка, т.к. это Signed Boot.
     
     
  • 3.28, Аноним (28), 11:57, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ошибка - с точки зрения пользователя. С точки зрения MS, всё честно: компания рулит выдачей сертификатов как тот Сесурити, которого надо понять и простить.
     
  • 2.15, пох (?), 10:24, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    учитывая что ключ пошел по рукам - и любой хакзор васья тем же самым shim может загрузить любой свой мусор  - никакой, за исключением, разумеется, новых макбуков.

    Но линукс там, по очевидным причинам, не загружается.

    определенная польза может быть разьве что в случае, когда уефя снабжена полноценным менеджером ключей (позволяющим не только свои добавить, но и чужие поудалять, _все_) - тогда можно подписать свой собственный загрузчик _своим_ ключом, которого ни у какого васяна нет.

    но для joe average это слишком сложная процедура, поэтому и биосы такие редкость, и инструменты для подобной операции отсутствуют, придется очень много читать ненужной документации в корявых копипастах (ибо оригинал недоступен) и работать руками.

     
     
  • 3.92, хотел спросить (?), 12:31, 12/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А в каких BIOS это есть? Может в каких то конкретных матерях?
     
  • 2.23, proninyaroslav (ok), 11:07, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Идти по пути Apple и запретить неподписанные ОС (сама Apple с чипом T2 подписывает теперь только винду). У майкрософт недавно появился свой дистр (WLinux), за который они требуют выложить 20$. Пока это только для WSL, а не для установки на железо, но в теории если обнулить текущие подписи и перестать выдавать новые, то по сути они установят монополию на свой платный дистр: "хочешь линукс - покупай".
     
     
  • 3.25, Аноним (25), 11:26, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё правильно сделали. Только рабы могут покупать зативоизированные железки.
     
  • 3.38, Аноним (38), 14:16, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    WLinux не имеет отношения к MS.
     
     
  • 4.57, proninyaroslav (ok), 17:54, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > WLinux не имеет отношения к MS.

    Не думаю что майкрософт составит проблема купить стартап

     
     
  • 5.62, soarin (ok), 19:37, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    :D А смысл? Не проще новый создать?
     
  • 5.63, soarin (ok), 19:50, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И да. По поводу WLinux
    Он не имеет никакого отношение к компании <CENSORED>
    Распространяется кстати под лицензией MIT. https://github.com/WhitewaterFoundry/WLinux
    Вот можешь брать и собрать сам. Ну а за готовенькое из магазина денег просят, и даже есть версия с поддержкой.
    Как будто такого подхода в линуксах никогда не было, а?
     
  • 2.26, Аноним (26), 11:30, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Удаляешь все ключи из уфефи, устанавливаешь свои и получаешь типа секюрность.
    Для хомяков никаких плюсов. Ну может, если дефолт ос не трогать, то побезопаснее будет.
     
     
  • 3.31, пох (?), 12:08, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вообще-то нифига несложно завести эту технологию в скрипт установки дистрибутива, на радость хомячкам.
    В теории.
    На практике ожественная бубунточка разок при апгрейде умудрилась поломать собственный загрузчик ни разу не signed, просто запуталась в файликах в EFI. Видимо все еще немного не совсем готова даже для работы с настоящим, а не виртуальным, на котором тестируют, uefi boot еще даже без подписей. Восстановить оказалось неожиданно не самым тривиальным квестом.
    Не говоря уже о том, что редкий юзверь сообразит сразу сбэкапить ключ на внешний сторадж и не проиметь его через два дня.

    В результате, число окирпиченных материнок, внезапно, может приблизиться к числу окирпиченных борцунами за свабодку и безопатсность лопатофонов.

     
     
  • 4.34, Crazy Alex (ok), 12:20, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    убунточка спокойно стоит и работает на куче машин, тем не менее. Но тебе ж совершенство зачем-то нужно.
     
     
  • 5.53, пох (?), 16:33, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и вся эта куча - одноразовые fire and forget виртуалочки в aws, да?

    > Но тебе ж совершенство зачем-то нужно.

    не, я банально невнимательно дернул apt upgrade на неудачном экземпляре, который мало того что на реальном и uefi-only железе, так еще и менюшки-окошки там ни разу не предусмотрены, предполагается, что бутменеджерит операционная система.

    ладно хоть загрузочное устройство дали выбрать - стандарт uefi, afaik, и этого не требует, оставляет на откуп производителю.

     
  • 5.79, fi (ok), 12:48, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да, такое тоже бывает. Но сам лично наблюдал как "убунточка" при upgrade снесла к черту свою загрузку и ву а'ля - остался голый груб, как-то ядро обновляется неправильно.

    «теперь RHEL наше всё!»

     
  • 4.43, Аноним (-), 14:53, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Забей, твои стены все-равно никто не читает.
     
     
  • 5.52, Аноним (52), 16:18, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я читаю, он правильно пишет, но противно, да, с издёвкой.
     
  • 4.58, Аноним (58), 18:15, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Убунта только ноутбуки леново окирпичивала, и там был целый ряд факторов - от кривой установки до тупости производителя ноутбуков, разрешившего запись в критически важные области памяти чипа на материнке.
     
     
  • 5.64, Аноним (64), 20:00, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не только. Еще самсунги, причем их она "окирпичивала" именно из-за кривого драйвера, под который потом в бубунту пришлось патч добавлять.
     
  • 2.30, Аноним (30), 12:04, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Польза, это смотря для кого.

    Например, знаете такую ОС Роса Линукс? Когда она выходила в крайний раз и почему новых выпусков до сих пор нет?

     
     
  • 3.59, Аноним (58), 18:17, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Потому, что крайними бывают случай, север и плоть, а раз - он последний.
     
     
  • 4.73, Аноним (30), 09:52, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а раз - он последний.

    Многозначная поправочка.

     
  • 2.36, Аноним84701 (ok), 13:46, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Типа, можно чисто теоретически не опасаться буткитов была одно время модная и... большой текст свёрнут, показать
     
  • 2.65, DerRoteBaron (ok), 20:02, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мелкомягкий - грубо говоря не нужен вообще. Со своими ключами - чтобы обезопасить железку от загрузки чужого кода и встраивания буткитов между efi и "правильным" загрузчиком. От продвинутых мамкиных хацкеров годное средство.
     
  • 2.70, бздун (?), 00:27, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У интела всё равно нету никакого Secure Boot. Все образы BIOS подписаны интеловским ключом (а не OEM'ным), rollback protection выключен везде, даже на интеловских бордах, у большинства OEM ещё и сконфигурировано всё неправильно. При физическом доступе (ну или из винды через официальный прошивальщик) всегда можно прошить старую прошивку с незапатченной уязвимостью и грузить что угодно.
     
     
  • 3.72, Григорий Федорович Конин (?), 02:29, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зато у интела есть прекрасный зонд AMT который может вам даже заблокировать материнку удалённо.
     
     
  • 4.74, Аноним (30), 09:55, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А Вам он не может заблокировать? Что Вы предприняли?
     
     
  • 5.82, Григорий Федорович Конин (?), 16:43, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А Вам он не может заблокировать? Что Вы предприняли?

    У меня слишком старый интел, мне тогда ещё не подвезли.

     
  • 4.85, Аноним (85), 18:29, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    AMT - это не зонд, а фича, за которую требуют немалые деньги. Зонд - ME - та же фича, даже ещё круче, но только для Интела.
     

  • 1.3, 1366x768 хватит на всех (?), 09:02, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Увяз коготок. Всей птичке пропасть.
     
  • 1.4, Стяжечка (?), 09:20, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Зауважал дебиан после ситуации с лицензией микрокода интел. Они не согнулись под интел и те уступили...Теперь дебиан с майкросовтофтовской поделкой екшается.
     
     
  • 2.6, A.Stahl (ok), 09:41, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не якшается, а тыкает палочкой. А как поймёт как этим пользоваться, то, глядишь, тоже поднимает вопрос чтобы эти ключи можно было самостоятельно генерировать и впихивать в БИОС.
     
     
  • 3.19, Аноним (19), 11:02, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А в чем толк тогда от этого т.н. обезопасного бута, если сертификатом можно будет подписать любую поделку на ядре линя (то есть по факту всё страшное, что только можно представить)? SB - сильная и независимая (нет) попытка мелкомягких тивиайнуть весь десктопный промысел, что впринципе у них получилось, т.к. некоторые приходят в шок даже от самого процесса нажатия клавишинейм и перехода в биос. Практической же пользы от этой функции чуть больше, чем никакой, если вы не на производстве
     
  • 3.29, Аноним (30), 12:02, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ключи можно генерировать, а вот "впизивать" - не на всякой аппаратуре.
     

  • 1.5, Аноним (5), 09:39, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Теперь установочный DVD или флешка не выдаст красный экран "вы пытаетесь загрузить неподписанное ПО". На ноутах Secure Boot же "из коробки".
     
     
  • 2.22, Аноним (19), 11:06, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Он там отключается либо безвозмездно, либо после установки пароля на настройки биоса. Так что это просто какой-то тупой костыль, сделанный для особых случаев (хотя там обычно просто блочат биос, так что тоже непонятно)
     

  • 1.7, Аноним (7), 09:46, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Нет, брат Аноним, эти заигрывания в конечном итоге приведут к тому, что секуре бут будет неотключаем в большинстве, если не во всех устройствах, а у МС всегда будет "кольцо, которое будет управлять всеми." (на правах ванги)
     
     
  • 2.14, Аноним (5), 10:15, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А он разве отключаем? Мне на ноуте CLEVO KAPOK не удалось даже зайти в UEFI ни по F2, ни по ESC. Пртшлось идти в магазин DNS и говорить "я хочу отказаться от Windows - удалите, пожалуйста, и верните деньги". Вставили загадочный чёрный диск, и винды не стало, а UEFI стал доступен
     
     
  • 3.35, Crazy Alex (ok), 12:23, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну значит отключаем, раз отключили
     
  • 3.48, Аноним (48), 15:27, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И сколько вернули?
     
     
  • 4.68, Аноним (68), 20:37, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тыщу с чем-то. Винда тогда стоила дёшево
     
  • 3.80, Анон546 (?), 16:02, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ваше описание похоже на механизм "забей на биос, грузи Винду", который этой самой виндой эксплуатируется при гибернации. и вход в биос (или невозможность это сделать) к самому секьюр буту не имеет особого отношения
     

  • 1.8, Аноним (9), 09:56, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В kvm ubuntu 19.04 уже завезли открытый secureboot и secureboot ms.
     
  • 1.10, Anon_Erohin (?), 10:02, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Похоже пора переходить на другие дистры... прогнулись. Это печально.
     
     
  • 2.13, ryoken (ok), 10:14, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Перетаскиваю свой домашний комп на Gentoo. (Сейчас допинывается LibreOffice, который не так чтоб особо нужен, но для комплекта - чтоб был). Хомяк общий с Дебом, большинство софта дёрнуло конфиги и взлетело, только Steam малость переделался :). Ни системДы, ни Пульсы.. Красота! :)
     
     
  • 3.32, Аноним (30), 12:12, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    * sys-boot/shim
         Доступные версии:      15.5-r1
         Домашняя страница:     https://apps.fedoraproject.org/packages/shim/
         Описание:              Fedora's signed UEFI shim
     
     
  • 4.42, другой Аноним (?), 14:51, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    echo "sys-boot/shim #M$ signed shit" >> /etc/portage/package.mask/evil
     
     
  • 5.46, Аноним (30), 15:05, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > #M$ signed shit

    Этимология слова shi-m прояснилась.

     
  • 4.55, ryoken (ok), 17:21, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >      Описание:      
    >        Fedora's signed UEFI shim

    Нефиг всякое бугага тащить. Есть же grub2.

     
     
  • 5.61, Michael Shigorin (ok), 19:34, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не смешно.

    http://www.rodsbooks.com/efi-bootloaders/principles.html

     
  • 5.78, Аноним (30), 11:59, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть же grub2.

    Есть и USE-флаг gnuefi у systemd  (одевает каску, прыгает в окоп).

     

  • 1.11, Пользователь (?), 10:02, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > будет задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft

    Linux постепенно становится похож на "винду"..

     
     
  • 2.49, Аноним (48), 15:30, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык они же теперь не делают ОС, а предоставляют сервис. Так что через несколько лет вполне десятка может обновиться в линь-сервис собранный мелкософтом.
     
     
  • 3.60, Аноним (58), 18:20, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что ты несешь? Кто там тебе сервис предоставляет?
     
     
  • 4.81, Аноним (81), 16:12, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Значит я вот это не правильно понял.
    https://docs.microsoft.com/ru-ru/windows/deployment/update/waas-overview
     

  • 1.18, Аноним (18), 11:01, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    SecBoot со своими ключами + полнодисковое шифрование. Так имеет смысл. Инное блажь.
     
     
  • 2.40, Аноним (-), 14:47, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Отключенный SecBoot. Так имеет смысл. Инное блажь.
     
  • 2.51, Имя (?), 15:46, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты доверяешь SecBoot ключи от диска? Тогда зачем тебе свои ключи?
     
     
  • 3.66, DerRoteBaron (ok), 20:06, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, SecureBoot доверяется бинарь загрузчика, который и осуществляет расшифровку диска (от пароля с клавиатуры, скажем). При этом бинарь загрузчика подписан ключом не мелкомягким, а своим собственным
     
  • 3.71, Аноним (71), 01:11, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    RTFM.
     

  • 1.20, Ilya Indigo (ok), 11:03, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    У него её до сих пор не было и даже ещё нет?!
     
     
  • 2.24, Аноним (18), 11:12, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так не зря погоняло Дебки МУЗЕЙ :D
     

  • 1.37, Аноним (37), 14:03, 08/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Господа я вас разочарую UEFI Secure Boot безполезная легко взламываемая
    х**та, и создана только в интересах
    M$.
    О пользе для пользователей не идет и речи.
     
     
  • 2.41, Аноним (41), 14:49, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Спасибо, Кэп! Нормальные люди просто отключают его при первом заходе в бивис.
     
     
  • 3.44, Аноним (37), 14:54, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так это сейчас есть возможность отключить на десктопе, а вот на некоторых ноутах уже тестят не отключаемую и проверяют схавают или нет если да то еще год 2 и сделают везде не отключаемую.
     
     
  • 4.45, Tirex (?), 14:57, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Значит привет свободные кастомные ноуты.

    https://puri.sm/

     
     
  • 5.47, Аноним (30), 15:11, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не нашёл там информации по firmware.
     
  • 2.54, пох (?), 16:43, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пруф, или назвиздел.

    Пруф- в виде взломанной тобой системы с secureboot, правильно настроенным - то есть левый ms'овский ключик заблокирован.

    Могу ненадолго выдать тебе макбук для этой цели, хоть на часок приобщишься к прекрасному ;-)


     
     
  • 3.56, Аноним (56), 17:37, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Взломать не взломали а новость что после проблем с UEFI ноуты становились подставкой под цветы.
    https://www.opennet.ru/opennews/art.shtml?num=35973
    https://www.opennet.ru/opennews/art.shtml?num=43795
    Можешь сказать что проблема в пользователе или софте, но толку от такой безопасности когда железо становится не рабочим хламом. Одно дело когда не можешь загрузить систему другое не рабочее железо.
    Производители ещё не внесли в условия гарантии что при модификации UEFI это не гарантийный случай?
     
     
  • 4.67, DerRoteBaron (ok), 20:12, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тут проблема не в UEFI, а в принципе в индустрии
    Современные процы очень сложные (чтобы быть быстрыми и совместимыми), поэтому ими рулит софт. Софт тоже не очень простой. Раз он есть, в него добавили фич, потому, что и могут и хочется. Получился монстр. К нему наконец добавили режим загрузки, отличающийся более-менее продвинутой и типа разумной структурой. И хорошо, что это сделали, так как теперь этот монстр присутствует более-менее честно и явно, а не эмулирует костыли из дремучей древности новыми костылями.
     
     
  • 5.75, Аноним (30), 10:23, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А в это время ракеты отправляются в Космос.
     
     
  • 6.76, нах (?), 10:58, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а это уж как получится - иногда в космос, иногда в казахскую степь недалече.
    А у Маска все еще немного неготово для отправки в космос не трупов, ну, точнее, для того чтобы они были еще живые, когда долетят, с дохлым-то уже технология отработана.
    То ли amt мешает, то ли secureboot, то ли лыжи не едут...

     
     
  • 7.77, Аноним (30), 11:55, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Фаберже, как всегда, виноват.
     
  • 4.69, пох (?), 22:18, 08/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Взломать не взломали а новость что после проблем с UEFI
    > ноуты становились подставкой под цветы.

    ну так не запускай кривых убунтиных скриптов - и не станут.

    > Можешь сказать что проблема в пользователе или софте,

    проблема именно в софте (ну и в пользователе, запускающем всякий трэш)

    > но толку от такой безопасности когда железо становится не рабочим хламом.

    ну вот пользователям б-жественной десяточки - никаких проблем, безопасность действительно выше чем без s-b, особенно если еще и диск зашифровать (благо ленова из коробки предлагает). Некоторый риск превращения в тыкву остается, но при шифроиграх он всегда есть, делай бэкап.

    > Производители ещё не внесли в условия гарантии что при модификации UEFI это не гарантийный
    > случай?

    нет, но вполне могут, если ситуация станет часто повторяемой. Была же уже история с vlc и его любовью к громкости 1000%, когда соня решила что ей неинтересно менять порванные динамики и пожженые усилители в ноутах. И тоже - кто виноват, vlc, пользователь, глупая соня, единственная из всех не снабдившая звуковуху ограничителем, понадеявшись на разум разработчиков?

    Я там уже писал как должны выглядеть правильные скрипты и что они должны делать - и автоматически продолжил, к чему это логичненько приведет, учитывая качество как скриптов так и их пользователей. Заметим, я в тот момент напрочь забыл об истории с леновой.

     
  • 3.83, barbarella (?), 17:22, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    я имею некоторое отношение ко всяким загрузчикам\uefi, так вот:
    1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор, нихрена не разбираясь что тот или иной efi-модуль делает.
    2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через LoadImage() он загрузится, только если в свою очередь также подписан в microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужным смещениям, расставить реллоки и стартануть через его точку входа - efi модуль замечательно стартанет, и никакая подпись не потребуется. Этим фактом и пользуются всякие подписанные в microsoft shim-ы, которые стартуют после себя что угодно.
     
     
  • 4.84, Michael Shigorin (ok), 18:06, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > я имею некоторое отношение ко всяким загрузчикам\uefi, так вот:
    > 1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор,
    > нихрена не разбираясь что тот или иной efi-модуль делает.

    Гм, shim несколько лет назад они подписывали явно ковыряясь в бинаре (я собирал не конкретную версию "точно", а что-то промежуточное с патчами из гита -- удивлялись).

    > 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в
    > microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через
    > LoadImage() он загрузится, только если в свою очередь также подписан в
    > microsoft.

    Вот только конкретно с shim была проделана такая "полюбовно согласованная" штука: где-то с рубежа 2013/2014 годов подписанию UEFI CA (бишь MSFT "за неимением других желающих") подлежат только релизы 0.5+, поскольку в 0.5 добавили хук на подрыв загрузки этого самого следующего бинаря, если он не ходил в LoadImage(), т.е. не проверял фирмварным методом то, что грузит дальше.

    https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO#shim
    https://github.com/mjg59/shim/commit/f95ccd0a7f64c0a63b06fddd278a3e35aa96eba9

     
     
  • 5.86, barbarella (?), 21:27, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1
    Shim это официальный таран от OSS, поэтому его и шерстили для порядка. Я работаю в конторе сильно поскромнее чем RedHat - у нас ms подписывают все что закинем, не задавая вопросов.
    2
    Не очень понял, кто кому что запрещает, но на свежей плате Gigabyte H310M DS2 с последней версией прошивки у меня стартует подписанный в микрософт загрузчик, который вручную грузит уже наш неподписанный в ms загрузчик и все отрабатывает как положено (код ручной загрузки я выдрал из последнего мастера в https://github.com/rhboot/shim)
     
     
  • 6.87, Michael Shigorin (ok), 21:48, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Не очень понял, кто кому что запрещает

    Это именно по shim упоминал, но "звоночек".

    В любом разе спасибо за наблюдения -- я ещё кое-какие на публике всё-таки, пожалуй, не буду от своего имени озвучивать, но всё в сумме отрезонировало забавным образом :)

     
  • 4.89, нах (?), 12:55, 10/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в
    > microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через
    > LoadImage() он загрузится, только если в свою очередь также подписан в
    > microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужным

    теоретически - такое либо не должны подписывать, не позадавав уточняющие вопросы, либо оно должно уметь проверять свои собственные подписи (что было бы условно правильно, но залочило бы выбор того, что оно грузит, до списка подписанных хорошими ребятами)

    на практике, полагаю, ms не случайно для винды использует совсем-совсем другой ключик, и им ничего кроме винды не подписывает.

    именно потому что что там подписывается ключиком для oem'ов - индусу и разбираться лень, и некогда ему.


     

  • 1.88, Аноним (88), 23:39, 09/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключи из UEFI, генерируются свои и ими подписываются ядра.
    Больше интересует вопрос как подписать винду своим кастомным ключом, чтобы иногда пускать ее в дуалбуте.
     
     
  • 2.90, вендор (?), 13:02, 10/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключи

    если я тебе нарисовал окошко с менюшком и мышком - то достаточно просто.
    а если я строго следовал спецификациям на uefi - вот тебе efi shell, ну-ка, попробуй в нем что-нибудь удали или добавь.

     
     
  • 3.91, Аноним (88), 13:49, 10/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю можно ли тут давать ссылки, загугли Sakaki's EFI Install Guide и попробуй.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру