Разработчики Debian предложили (https://henrich-on-debian.blogspot.com/2019/01/call-for-test...) протестировать реализацию поддержки технологии верифицированной загрузки (UEFI Secure Boot (https://wiki.debian.org/SecureBoot)), развиваемую для выпуска Debian 10. Поддержку Secure Boot предлагается (https://wiki.debian.org/SecureBoot/Testing) оценить пользователям Debian unstable (Sid), воспользовавшись временным проверочным сертификатом, которым подписан образ ядра (данный сертификат требуется импортировать в качестве MOK (Machine Owner Key)).
Напомним, что изначально поддержка Secure Boot ожидалась в Debian 9, но её не успели стабилизировать до релиза и отложили (https://www.opennet.ru/opennews/art.shtml?num=46467) до следующего значительного выпуска дистрибутива. Для обеспечения работы Secure Boot в релизе Debian 10 будет задействован загрузчик Shim (https://www.opennet.ru/opennews/art.shtml?num=36077), заверенный (https://packages.debian.org/sid/utils/shim-signed) цифровой подписью от компании Microsoft, в сочетании с заверением ядра и загрузчика grub собственным сертификатом проекта (shim выступает как прослойка для использования дистрибутивом собственных ключей). Подобное решение также применяется в RHEL, SUSE, Fedora, Ubuntu и многих других дистрибутивах Linux.URL: https://henrich-on-debian.blogspot.com/2019/01/call-for-test...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49916
А в чем польза secure boot? И есть ли она вообще?
> заверенный цифровой подписью от компании MicrosoftДля Microsoft - конечно есть польза.
Сначала CoC, теперь это... А что дальше? Я видится здесь M$ EEE.
Скатится как Мозилла. Не моментально, но результат немного предсказуем.
Какой именно секюрбут? В понятиях redhat это две разные техники одна из которых подпись ключами microsoft.
Не, нету. Для обычного юзера, кроме разве что знаний, что у него основные части ОСи кем-то там подписаны. И опять же - в терминах намеренная ошибка, т.к. это Signed Boot.
Ошибка - с точки зрения пользователя. С точки зрения MS, всё честно: компания рулит выдачей сертификатов как тот Сесурити, которого надо понять и простить.
учитывая что ключ пошел по рукам - и любой хакзор васья тем же самым shim может загрузить любой свой мусор - никакой, за исключением, разумеется, новых макбуков.Но линукс там, по очевидным причинам, не загружается.
определенная польза может быть разьве что в случае, когда уефя снабжена полноценным менеджером ключей (позволяющим не только свои добавить, но и чужие поудалять, _все_) - тогда можно подписать свой собственный загрузчик _своим_ ключом, которого ни у какого васяна нет.
но для joe average это слишком сложная процедура, поэтому и биосы такие редкость, и инструменты для подобной операции отсутствуют, придется очень много читать ненужной документации в корявых копипастах (ибо оригинал недоступен) и работать руками.
А в каких BIOS это есть? Может в каких то конкретных матерях?
Идти по пути Apple и запретить неподписанные ОС (сама Apple с чипом T2 подписывает теперь только винду). У майкрософт недавно появился свой дистр (WLinux), за который они требуют выложить 20$. Пока это только для WSL, а не для установки на железо, но в теории если обнулить текущие подписи и перестать выдавать новые, то по сути они установят монополию на свой платный дистр: "хочешь линукс - покупай".
Всё правильно сделали. Только рабы могут покупать зативоизированные железки.
WLinux не имеет отношения к MS.
> WLinux не имеет отношения к MS.Не думаю что майкрософт составит проблема купить стартап
:D А смысл? Не проще новый создать?
И да. По поводу WLinux
Он не имеет никакого отношение к компании <CENSORED>
Распространяется кстати под лицензией MIT. https://github.com/WhitewaterFoundry/WLinux
Вот можешь брать и собрать сам. Ну а за готовенькое из магазина денег просят, и даже есть версия с поддержкой.
Как будто такого подхода в линуксах никогда не было, а?
Удаляешь все ключи из уфефи, устанавливаешь свои и получаешь типа секюрность.
Для хомяков никаких плюсов. Ну может, если дефолт ос не трогать, то побезопаснее будет.
вообще-то нифига несложно завести эту технологию в скрипт установки дистрибутива, на радость хомячкам.
В теории.
На практике ожественная бубунточка разок при апгрейде умудрилась поломать собственный загрузчик ни разу не signed, просто запуталась в файликах в EFI. Видимо все еще немного не совсем готова даже для работы с настоящим, а не виртуальным, на котором тестируют, uefi boot еще даже без подписей. Восстановить оказалось неожиданно не самым тривиальным квестом.
Не говоря уже о том, что редкий юзверь сообразит сразу сбэкапить ключ на внешний сторадж и не проиметь его через два дня.В результате, число окирпиченных материнок, внезапно, может приблизиться к числу окирпиченных борцунами за свабодку и безопатсность лопатофонов.
убунточка спокойно стоит и работает на куче машин, тем не менее. Но тебе ж совершенство зачем-то нужно.
и вся эта куча - одноразовые fire and forget виртуалочки в aws, да?> Но тебе ж совершенство зачем-то нужно.
не, я банально невнимательно дернул apt upgrade на неудачном экземпляре, который мало того что на реальном и uefi-only железе, так еще и менюшки-окошки там ни разу не предусмотрены, предполагается, что бутменеджерит операционная система.
ладно хоть загрузочное устройство дали выбрать - стандарт uefi, afaik, и этого не требует, оставляет на откуп производителю.
да, такое тоже бывает. Но сам лично наблюдал как "убунточка" при upgrade снесла к черту свою загрузку и ву а'ля - остался голый груб, как-то ядро обновляется неправильно.«теперь RHEL наше всё!»
Забей, твои стены все-равно никто не читает.
Я читаю, он правильно пишет, но противно, да, с издёвкой.
Убунта только ноутбуки леново окирпичивала, и там был целый ряд факторов - от кривой установки до тупости производителя ноутбуков, разрешившего запись в критически важные области памяти чипа на материнке.
Не только. Еще самсунги, причем их она "окирпичивала" именно из-за кривого драйвера, под который потом в бубунту пришлось патч добавлять.
Польза, это смотря для кого.Например, знаете такую ОС Роса Линукс? Когда она выходила в крайний раз и почему новых выпусков до сих пор нет?
Потому, что крайними бывают случай, север и плоть, а раз - он последний.
> а раз - он последний.Многозначная поправочка.
> А в чем польза secure boot? И есть ли она вообще?Типа, можно (чисто теоретически) не опасаться буткитов (была одно время модная истерия):
http://www.h-online.com/security/news/item/Bootkit-bypasses-...
> Bootkit bypasses hard disk encryption
> At the Black Hat security conference, Austrian IT security specialist Peter Kleissner presented
> a bootkit called Stoned which is capable of bypassing the TrueCrypt partition and system encryption.http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BH...
https://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/B...на практике, правда, требуется еще запретить запуск неподписанных бинарей, иначе первая же малварь прекрасно сможет "изнутри" системы читать зашифрованный диск без всяких извращений с загрузкой в ring0 или модификации загрузчика.
Ну и заодно дыры в подписанных бинарях и библиотеках тоже -- запретить.
К этому конечно "ведущие ОС" стремятся (хотя и совсем не с целью сделать пользователю приятное), но …А на самом деле все эти буткиты обнуляются банальным кастомным загрузчиком с флешки/CD, считающим проверочную сумму носителя, а потом и загружающимся с него (или же бибикающим при несовпадении).
Тут главное, чтобы все можно было надежно "залочить" на определенный порядок загрузки и этот порядок нельзя было изменить незаметно для пользователя в его отсутсвии. (т.е. да, нужно было убрать тонны мастерпаролей и возможностей обхода -- судя по утечке мастерключа для "сикурбута" у МС 3 года назад, задача совершенно невыполнимая)
Мелкомягкий - грубо говоря не нужен вообще. Со своими ключами - чтобы обезопасить железку от загрузки чужого кода и встраивания буткитов между efi и "правильным" загрузчиком. От продвинутых мамкиных хацкеров годное средство.
У интела всё равно нету никакого Secure Boot. Все образы BIOS подписаны интеловским ключом (а не OEM'ным), rollback protection выключен везде, даже на интеловских бордах, у большинства OEM ещё и сконфигурировано всё неправильно. При физическом доступе (ну или из винды через официальный прошивальщик) всегда можно прошить старую прошивку с незапатченной уязвимостью и грузить что угодно.
Зато у интела есть прекрасный зонд AMT который может вам даже заблокировать материнку удалённо.
А Вам он не может заблокировать? Что Вы предприняли?
> А Вам он не может заблокировать? Что Вы предприняли?У меня слишком старый интел, мне тогда ещё не подвезли.
AMT - это не зонд, а фича, за которую требуют немалые деньги. Зонд - ME - та же фича, даже ещё круче, но только для Интела.
Увяз коготок. Всей птичке пропасть.
Зауважал дебиан после ситуации с лицензией микрокода интел. Они не согнулись под интел и те уступили...Теперь дебиан с майкросовтофтовской поделкой екшается.
Не якшается, а тыкает палочкой. А как поймёт как этим пользоваться, то, глядишь, тоже поднимает вопрос чтобы эти ключи можно было самостоятельно генерировать и впихивать в БИОС.
А в чем толк тогда от этого т.н. обезопасного бута, если сертификатом можно будет подписать любую поделку на ядре линя (то есть по факту всё страшное, что только можно представить)? SB - сильная и независимая (нет) попытка мелкомягких тивиайнуть весь десктопный промысел, что впринципе у них получилось, т.к. некоторые приходят в шок даже от самого процесса нажатия клавишинейм и перехода в биос. Практической же пользы от этой функции чуть больше, чем никакой, если вы не на производстве
Ключи можно генерировать, а вот "впизивать" - не на всякой аппаратуре.
Теперь установочный DVD или флешка не выдаст красный экран "вы пытаетесь загрузить неподписанное ПО". На ноутах Secure Boot же "из коробки".
Он там отключается либо безвозмездно, либо после установки пароля на настройки биоса. Так что это просто какой-то тупой костыль, сделанный для особых случаев (хотя там обычно просто блочат биос, так что тоже непонятно)
Нет, брат Аноним, эти заигрывания в конечном итоге приведут к тому, что секуре бут будет неотключаем в большинстве, если не во всех устройствах, а у МС всегда будет "кольцо, которое будет управлять всеми." (на правах ванги)
А он разве отключаем? Мне на ноуте CLEVO KAPOK не удалось даже зайти в UEFI ни по F2, ни по ESC. Пртшлось идти в магазин DNS и говорить "я хочу отказаться от Windows - удалите, пожалуйста, и верните деньги". Вставили загадочный чёрный диск, и винды не стало, а UEFI стал доступен
ну значит отключаем, раз отключили
И сколько вернули?
Тыщу с чем-то. Винда тогда стоила дёшево
ваше описание похоже на механизм "забей на биос, грузи Винду", который этой самой виндой эксплуатируется при гибернации. и вход в биос (или невозможность это сделать) к самому секьюр буту не имеет особого отношения
В kvm ubuntu 19.04 уже завезли открытый secureboot и secureboot ms.
Похоже пора переходить на другие дистры... прогнулись. Это печально.
Перетаскиваю свой домашний комп на Gentoo. (Сейчас допинывается LibreOffice, который не так чтоб особо нужен, но для комплекта - чтоб был). Хомяк общий с Дебом, большинство софта дёрнуло конфиги и взлетело, только Steam малость переделался :). Ни системДы, ни Пульсы.. Красота! :)
* sys-boot/shim
Доступные версии: 15.5-r1
Домашняя страница: https://apps.fedoraproject.org/packages/shim/
Описание: Fedora's signed UEFI shim
echo "sys-boot/shim #M$ signed shit" >> /etc/portage/package.mask/evil
> #M$ signed shitЭтимология слова shi-m прояснилась.
> Описание:
> Fedora's signed UEFI shimНефиг всякое бугага тащить. Есть же grub2.
Не смешно.
> Есть же grub2.Есть и USE-флаг gnuefi у systemd (одевает каску, прыгает в окоп).
> будет задействован загрузчик Shim, заверенный цифровой подписью от компании MicrosoftLinux постепенно становится похож на "винду"..
Ну дык они же теперь не делают ОС, а предоставляют сервис. Так что через несколько лет вполне десятка может обновиться в линь-сервис собранный мелкософтом.
Что ты несешь? Кто там тебе сервис предоставляет?
Значит я вот это не правильно понял.
https://docs.microsoft.com/ru-ru/windows/deployment/update/w...
SecBoot со своими ключами + полнодисковое шифрование. Так имеет смысл. Инное блажь.
Отключенный SecBoot. Так имеет смысл. Инное блажь.
Ты доверяешь SecBoot ключи от диска? Тогда зачем тебе свои ключи?
Нет, SecureBoot доверяется бинарь загрузчика, который и осуществляет расшифровку диска (от пароля с клавиатуры, скажем). При этом бинарь загрузчика подписан ключом не мелкомягким, а своим собственным
RTFM.
У него её до сих пор не было и даже ещё нет?!
Ну так не зря погоняло Дебки МУЗЕЙ :D
Господа я вас разочарую UEFI Secure Boot безполезная легко взламываемая
х**та, и создана только в интересах
M$.
О пользе для пользователей не идет и речи.
Спасибо, Кэп! Нормальные люди просто отключают его при первом заходе в бивис.
Так это сейчас есть возможность отключить на десктопе, а вот на некоторых ноутах уже тестят не отключаемую и проверяют схавают или нет если да то еще год 2 и сделают везде не отключаемую.
Значит привет свободные кастомные ноуты.
Не нашёл там информации по firmware.
пруф, или назвиздел.Пруф- в виде взломанной тобой системы с secureboot, правильно настроенным - то есть левый ms'овский ключик заблокирован.
Могу ненадолго выдать тебе макбук для этой цели, хоть на часок приобщишься к прекрасному ;-)
Взломать не взломали а новость что после проблем с UEFI ноуты становились подставкой под цветы.
https://www.opennet.ru/opennews/art.shtml?num=35973
https://www.opennet.ru/opennews/art.shtml?num=43795
Можешь сказать что проблема в пользователе или софте, но толку от такой безопасности когда железо становится не рабочим хламом. Одно дело когда не можешь загрузить систему другое не рабочее железо.
Производители ещё не внесли в условия гарантии что при модификации UEFI это не гарантийный случай?
Тут проблема не в UEFI, а в принципе в индустрии
Современные процы очень сложные (чтобы быть быстрыми и совместимыми), поэтому ими рулит софт. Софт тоже не очень простой. Раз он есть, в него добавили фич, потому, что и могут и хочется. Получился монстр. К нему наконец добавили режим загрузки, отличающийся более-менее продвинутой и типа разумной структурой. И хорошо, что это сделали, так как теперь этот монстр присутствует более-менее честно и явно, а не эмулирует костыли из дремучей древности новыми костылями.
А в это время ракеты отправляются в Космос.
а это уж как получится - иногда в космос, иногда в казахскую степь недалече.
А у Маска все еще немного неготово для отправки в космос не трупов, ну, точнее, для того чтобы они были еще живые, когда долетят, с дохлым-то уже технология отработана.
То ли amt мешает, то ли secureboot, то ли лыжи не едут...
Фаберже, как всегда, виноват.
> Взломать не взломали а новость что после проблем с UEFI
> ноуты становились подставкой под цветы.ну так не запускай кривых убунтиных скриптов - и не станут.
> Можешь сказать что проблема в пользователе или софте,
проблема именно в софте (ну и в пользователе, запускающем всякий трэш)
> но толку от такой безопасности когда железо становится не рабочим хламом.
ну вот пользователям б-жественной десяточки - никаких проблем, безопасность действительно выше чем без s-b, особенно если еще и диск зашифровать (благо ленова из коробки предлагает). Некоторый риск превращения в тыкву остается, но при шифроиграх он всегда есть, делай бэкап.
> Производители ещё не внесли в условия гарантии что при модификации UEFI это не гарантийный
> случай?нет, но вполне могут, если ситуация станет часто повторяемой. Была же уже история с vlc и его любовью к громкости 1000%, когда соня решила что ей неинтересно менять порванные динамики и пожженые усилители в ноутах. И тоже - кто виноват, vlc, пользователь, глупая соня, единственная из всех не снабдившая звуковуху ограничителем, понадеявшись на разум разработчиков?
Я там уже писал как должны выглядеть правильные скрипты и что они должны делать - и автоматически продолжил, к чему это логичненько приведет, учитывая качество как скриптов так и их пользователей. Заметим, я в тот момент напрочь забыл об истории с леновой.
я имею некоторое отношение ко всяким загрузчикам\uefi, так вот:
1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор, нихрена не разбираясь что тот или иной efi-модуль делает.
2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через LoadImage() он загрузится, только если в свою очередь также подписан в microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужным смещениям, расставить реллоки и стартануть через его точку входа - efi модуль замечательно стартанет, и никакая подпись не потребуется. Этим фактом и пользуются всякие подписанные в microsoft shim-ы, которые стартуют после себя что угодно.
> я имею некоторое отношение ко всяким загрузчикам\uefi, так вот:
> 1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор,
> нихрена не разбираясь что тот или иной efi-модуль делает.Гм, shim несколько лет назад они подписывали явно ковыряясь в бинаре (я собирал не конкретную версию "точно", а что-то промежуточное с патчами из гита -- удивлялись).
> 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в
> microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через
> LoadImage() он загрузится, только если в свою очередь также подписан в
> microsoft.Вот только конкретно с shim была проделана такая "полюбовно согласованная" штука: где-то с рубежа 2013/2014 годов подписанию UEFI CA (бишь MSFT "за неимением других желающих") подлежат только релизы 0.5+, поскольку в 0.5 добавили хук на подрыв загрузки этого самого следующего бинаря, если он не ходил в LoadImage(), т.е. не проверял фирмварным методом то, что грузит дальше.
https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO#shim
https://github.com/mjg59/shim/commit/f95ccd0a7f64c0a63b06fdd...
1
Shim это официальный таран от OSS, поэтому его и шерстили для порядка. Я работаю в конторе сильно поскромнее чем RedHat - у нас ms подписывают все что закинем, не задавая вопросов.
2
Не очень понял, кто кому что запрещает, но на свежей плате Gigabyte H310M DS2 с последней версией прошивки у меня стартует подписанный в микрософт загрузчик, который вручную грузит уже наш неподписанный в ms загрузчик и все отрабатывает как положено (код ручной загрузки я выдрал из последнего мастера в https://github.com/rhboot/shim)
> Не очень понял, кто кому что запрещаетЭто именно по shim упоминал, но "звоночек".
В любом разе спасибо за наблюдения -- я ещё кое-какие на публике всё-таки, пожалуй, не буду от своего имени озвучивать, но всё в сумме отрезонировало забавным образом :)
> 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в
> microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через
> LoadImage() он загрузится, только если в свою очередь также подписан в
> microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужнымтеоретически - такое либо не должны подписывать, не позадавав уточняющие вопросы, либо оно должно уметь проверять свои собственные подписи (что было бы условно правильно, но залочило бы выбор того, что оно грузит, до списка подписанных хорошими ребятами)
на практике, полагаю, ms не случайно для винды использует совсем-совсем другой ключик, и им ничего кроме винды не подписывает.
именно потому что что там подписывается ключиком для oem'ов - индусу и разбираться лень, и некогда ему.
Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключи из UEFI, генерируются свои и ими подписываются ядра.
Больше интересует вопрос как подписать винду своим кастомным ключом, чтобы иногда пускать ее в дуалбуте.
> Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключиесли я тебе нарисовал окошко с менюшком и мышком - то достаточно просто.
а если я строго следовал спецификациям на uefi - вот тебе efi shell, ну-ка, попробуй в нем что-нибудь удали или добавь.
Не знаю можно ли тут давать ссылки, загугли Sakaki's EFI Install Guide и попробуй.