The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Для Linux представлена система верификации исполняемых файло..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от opennews (ok) on 17-Янв-13, 00:57 
Один из инженеров из компании Red Hat представил (https://lkml.org/lkml/2013/1/15/615) в списке рассылки разработчиков ядра Linux патчи с реализацией системы верификации исполняемых файлов в формате ELF с использованием цифровых подписей. Разработка дополняет систему верификации модулей ядра, созданную в рамках проекта по обеспечению поддержки механизма UEFI Secure Boot.


В текущей реализации режима верификации модулей ядра пришлось заблокировать механизм kexec наряду с другими  возможностями, которые могут быть использованы для обхода цепочки проверки загружаемых модулей (через kexec могло быть запущено ядро в режиме без проверки цифровых подписей модулей). Одним из предложенных решений указанной проблемы стала поддержка проверки по цифровой подписи исполняемого файла /sbin/kexec (http://linux.die.net/man/8/kexec), применяемого для загрузки нового ядра с использованием системного вызова sys_kexec(). Другим мотивом обеспечения верификации исполняемых файлов являлось желание выполнения команды kdump  для ядер, загруженных в режиме UEFI Secure Boot. Другой возможностью является создание полностью верифицируемых систем, в которых гарантируется неизменность не только ядра, но и исполняемых компонентов пользовательского уровня.


Кроме патчей для ядра Linux представлена новая утилита signelf, предназначенная для заверения исполняемых файлов ELF с использованием закрытого ключа и сертификата x509, созданных в процессе сборки ядра Linux с включенным режимом верификации. В процессе выполнения вызова exec(), ядро проверяет снабжён ли файл цифровой подписью и проводит верификацию (проверяется загружаемое в память содержимое  секции PT_LOAD). Если цифровая подпись соответствует проверочному ключу или файл не подписан, то программа выполняется в обычном режим, иначе выполнение блокируется.


В настоящее время поддерживается только подписывание статически слинкованных исполняемых файлов. В силу необходимости формирования подписей для всех используемых библиотек пока не поддерживается динамическое связывание. Явное обращение к вызову  dlopen() не блокируется, поэтому задействование в программе данной функции следует проверять вручную перед формированием подписи.


Из других проектов по использованию цифровых подписей для защиты целостности исполняемых файлов можно отметить интегрированную начиная с ядра Linux 2.6.30 инфраструктуру IMA (http://lwn.net/Articles/227937/) (Integrity Management Architecture) и предложенные компанией Ericsson системы DSI (http://disec.sourceforge.net/) (Distributed Security Infrastructure) и DigSig (Digital Signature in the Kernel).

URL: https://lkml.org/lkml/2013/1/15/615
Новость: https://www.opennet.ru/opennews/art.shtml?num=35852

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Для Linux представлена система верификации исполняемых файло..."  –3 +/
Сообщение от mine (ok) on 17-Янв-13, 00:57 
UEFI и подобная хрень не нужны на десктопе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Для Linux представлена система верификации исполняемых файло..."  +20 +/
Сообщение от BratSinot (ok) on 17-Янв-13, 01:24 
UEFI это замена BIOS вообще-то, а Secure Boot отдельная тема.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Для Linux представлена система верификации исполняемых файло..."  –3 +/
Сообщение от Аноним (??) on 17-Янв-13, 08:46 
Не замена, а расширение/дополнение. Без  BIOS или coreboot UEFI бесполезен, так как не умеет инициализировать устройства, что и является основной задачей BIOS.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

30. "Для Linux представлена система верификации исполняемых файло..."  +3 +/
Сообщение от Аноним (??) on 17-Янв-13, 09:31 
> Без  BIOS или coreboot UEFI бесполезен,

Вас обманули. UEFI - это "универсальный расширяемый фирмварный интерфейс". Возможно сделать UEFI без какой либо иной прослойки. Ну то-есть, нечто вывешивающее интерфейсы UEFI совершенно не обязано строить свои услуги поверх BIOS. Самые новые "bios" уже именно uefi в основе своей, а совместимость с легаси и кусок биоса для оной там так, до кучи проволокой сбоку примотаны.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

57. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от XVilka (ok) on 17-Янв-13, 13:25 
Не совсем - SEC и PI - не часть UEFI, UEFI - это лишь "ядро операционной системы" без загрузчика и драйверов, которые закрыты по сути своей и не стандартизированы. Про совместимость правда - BIOS лишь эмулируется в UEFI через CSM модуль. В скором времени CSM модуль не будет поставляться.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

46. "Для Linux представлена система верификации исполняемых файло..."  –6 +/
Сообщение от filosofem (ok) on 17-Янв-13, 10:49 
> UEFI это замена BIOS вообще-то

От этого он не становится нужным. Никаких проблем BIOS он собственно не решает, кроме поддержки GPT, которую и в Legacy BIOS можно было добавить.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

86. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от ваш школьник on 18-Янв-13, 21:20 
Таки поддерживаю. Закрытая фигня не нужна на десктопе! Coreboot лучше будет)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Аноним (??) on 17-Янв-13, 01:03 
Вот вроде и хорошая вещь, но опять её повернут против пользователя. Тот же гугл в своём андройде, наверно, с удовольствием такое прикрутит, чтоб сложнее было получить рутовые права без спросу. И т. д.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Для Linux представлена система верификации исполняемых файло..."  –4 +/
Сообщение от Аноним (??) on 17-Янв-13, 09:53 
> Вот вроде и хорошая вещь, но опять её повернут против пользователя. Тот
> же гугл в своём андройде, наверно, с удовольствием такое прикрутит, чтоб
> сложнее было получить рутовые права без спросу. И т. д.

На кой ляд тебе рутовые права в смарте? Консоль запускать и чесать ЧСВ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

43. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от ъ on 17-Янв-13, 10:32 
>На кой ляд тебе рутовые права в смарте?

Смарт в Китае за сто бачей купил и теперь надо китайчатину выпилить.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

50. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Xasd (ok) on 17-Янв-13, 12:09 
> теперь надо китайчатину выпилить.

меняй прошивку через ClockworkMod . на китайских телефонах зачастую бывает что ClockworkMod уже установлен.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

58. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Anonim (??) on 17-Янв-13, 13:37 
Его без рута даже толком не настроить. Неюзабильно, в общем.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

59. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-13, 13:39 
Конечно. А тебе этого разве не хотелось бы?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

78. "Для Linux представлена система верификации исполняемых..."  +1 +/
Сообщение от arisu (ok) on 18-Янв-13, 03:24 
> На кой ляд тебе рутовые права в смарте?

на кой ляд тебе ключи от квартиры? входи-выходи, когда ЖЭК позволит.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

38. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Харитон on 17-Янв-13, 10:04 
> Вот вроде и хорошая вещь, но опять её повернут против пользователя. Тот
> же гугл в своём андройде, наверно, с удовольствием такое прикрутит, чтоб
> сложнее было получить рутовые права без спросу. И т. д.

Но ведь гугл исходники выкладывает? отключаете сертификацию и перекомпилируете ядро...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Для Linux представлена система верификации исполняемых файло..."  –5 +/
Сообщение от CssfPZS (ok) on 17-Янв-13, 01:06 
2008-07-15 16:13:03 GMT

Линус Торвальдс сравнил сообщество OpenBSD, которое известно своей тягой к корректному и безопасному коду, с группой мастурбирующих обезьян (bunch of masturbating monkeys), которые целиком концентрируются на вопросах безопасности, в то время как существуют и другие важные проблемы.

"Security people are often the black-and-white kind of people that I can't stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them", - заявил Бог Линукса.

источник: http://article.gmane.org/gmane.linux.kernel/706950

Получается что онанизм это заразная болезнь с инкубационным периодом в четыре с половиной года.

И еще остается вопрос, какова потеря производительности и гибкости системы при таких выкрутасах, потому как генерирование подписей и их верификация неплохо так CPU отъедать может.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Для Linux представлена система верификации исполняемых файло..."  –2 +/
Сообщение от sashka_ua on 17-Янв-13, 01:13 
Чувак, ты чувствуешь разницу между:
- целиком концентрируются на вопросах безопасности, в то время как существуют и другие важные проблемы
- тоже работают над безопасностью

?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от CssfPZS (ok) on 17-Янв-13, 01:33 
Во первых от чувака слышу.
Во вторых все эти пляски могут выйти боком.
И потом OpenBSD ВНИЗАПНА еще и операционная система и там работают не только над безопасностью но над другими программными компонентами.

<сарказм>
И да мелкософт тоже работает над обеспечением нашей свободы, сначала scurity boot а потом и чипы в мозг будут вживлять, и главное все это не со зла, а для нас, для людей!
Ага.</сарказм>

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

31. "Для Linux представлена система верификации исполняемых файло..."  +2 +/
Сообщение от Аноним (??) on 17-Янв-13, 09:45 
> И потом OpenBSD ВНИЗАПНА еще и операционная система и там работают не
> только над безопасностью но над другими программными компонентами.

Ну так воспользуйся OpenBSD вместо линукса, какие проблемы то? Посмотрим как тебе это понравится. Заодно на своей шкурке и сравнишь результаты подходов тех или иных "обезьян".

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Для Linux представлена система верификации исполняемых файло..."  –2 +/
Сообщение от Anonym on 17-Янв-13, 07:17 
>>Линус Торвальдс сравнил сообщество OpenBSD, которое известно своей тягой к корректному и безопасному коду, с группой мастурбирующих обезьян
>>Для Linux представлена система верификации исполняемых файлов по цифровым подписям

И где же ваш Линус теперь?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

33. "Для Linux представлена система верификации исполняемых файло..."  –2 +/
Сообщение от Аноним (??) on 17-Янв-13, 09:54 
>>>Линус Торвальдс сравнил сообщество OpenBSD, которое известно своей тягой к корректному и безопасному коду, с группой мастурбирующих обезьян
>>>Для Linux представлена система верификации исполняемых файлов по цифровым подписям
> И где же ваш Линус теперь?

Дрочит в углу. :))))))))

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

39. "Для Linux представлена система верификации исполняемых файло..."  +6 +/
Сообщение от Аноним (??) on 17-Янв-13, 10:08 
> И где же ваш Линус теперь?

Там же где и раньше. Сами по себе подписи не являются абсолютным вселенским злом.
Хотите пример, который понятен даже кухарке?

Пусть ОС - это собака, умеющая выполгнять команды. Кернел чем-то таким и занимается, выполняя команды от программ через системные вызовы.
Ключи - "собака узнает голос владельца". Чей ключ (голос), тот и хозяин.

В случае системы без подписей, наша собака доверчиво выполняет команды любого человека. Для некоторых (root) побольше. Для некоторых - поменьше. Прикинуться root'ом несложно: собака не обращает внимание на голос. Поэтому достаточно чтобы одежда была как у хозяина. Поскольку это не так уж сложно, постепенно выясняется что есть шутники, недоброжелатели и просто халявщики, которые могут специально напялить одежду как у вас и использовать вашу собаку в своих целях. Возможно вредных для вас или собаки. Понятное дело что вам это нравиться не обязано.

В случае системы с подписями - вопрос лишь в том чьего голоса слушается собака. Вот тут возможны варианты.

- Вам могут попробовать втюхнуть уже взрослую, выдрессированную собаку ("программно-аппаратный комплекс", залоченный ключами на вендора). С аргументацией что "зато вам не надо тратить свои силы на дрессировку". Такая собака уже составила свое мнение о том кто ее настоящие хозяин (кто ключ прописывал). Поскольку истинный хозяин приказал служить вам - приходится выполнять и ваши команды до кучи. Но только минимум. А истинный хозяин и его знакомые в случае чего имеют приоритет. Собака в принципе не будет кусать своего дрессировщика и его друзей, даже если они на вас с арматурой лезут и вам такая услуга была бы кстати. Вместо этого "ваша" собака при случае прокусывает окорок именно ... вам, если дрессировщик так попросил.

- Но вы можете взять молодого необученного щенка. Которого еще никто не дрессировал. В этом случае он после дрессировки будет откликаться только на ваш голос (ваш ключ) и из него вырастет весьма лояльный пес, который за вас горой, на провокации от посторонних - не покупается, и вообще, всегда на вашей стороне.

Внимание, вопрос: являются ли все собаки узнающие голос своего хозяина и различающие его от окружающих абсолютным злом? ИМХО нет. Просто надо понимать кто настоящий хозяин вон той штуки.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

49. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от жабабыдлокодер (ok) on 17-Янв-13, 12:01 
>есть шутники, недоброжелатели и просто халявщики, которые могут специально напялить одежду как у вас и использовать вашу собаку в своих целях

А если двери стальные, на окнах решетки в руку толщиной, замки сейфовые (т.е. стоит Линукс) нахрена все эти заморочки?
Можно даже на собаку намордник и дома надевать (SELinux).
Конечно, в ветхой хибаре, где дыр больше чем окон и дверей вместе взятых, есть какие-то проблемы, но переносить их на надежные, стабильные системы - это перебор...

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

60. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от Anonim (??) on 17-Янв-13, 13:43 
>>есть шутники, недоброжелатели и просто халявщики, которые могут специально напялить одежду как у вас и использовать вашу собаку в своих целях
> А если двери стальные, на окнах решетки в руку толщиной, замки сейфовые
> (т.е. стоит Линукс) нахрена все эти заморочки?
> Можно даже на собаку намордник и дома надевать (SELinux).
> Конечно, в ветхой хибаре, где дыр больше чем окон и дверей вместе
> взятых, есть какие-то проблемы, но переносить их на надежные, стабильные системы
> - это перебор...

Эти сейфы взломаны уже наверное тысячи раз (это только известные случаи), а вы все в сказки верите.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

53. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от linux must _RIP_ on 17-Янв-13, 12:55 
>> И где же ваш Линус теперь?
> Там же где и раньше. Сами по себе подписи не являются абсолютным
> вселенским злом.
> Хотите пример, который понятен даже кухарке?

А столман считает иначе. И стадо линукс обезьян кричат что Secure boot это зло.. А вы тут пытаетесь рассказать что это не так.. Так кто же прав ?!

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

71. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-13, 21:15 
Ошибаешься, обезьяны кричат, что linux must rip.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

13. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Андрей (??) on 17-Янв-13, 02:33 
нельзя сравнивать то что openbsd следит за безопасным написанием кода, с тем что творит мелкософты. МС вообще не заботит никакая безопасность. им самое главное ограничить свободу пользователя по самые яйца.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от CssfPZS (ok) on 17-Янв-13, 03:49 
> нельзя сравнивать то что openbsd следит за безопасным написанием кода, с тем
> что творит мелкософты. МС вообще не заботит никакая безопасность. им самое
> главное ограничить свободу пользователя по самые яйца.

Речь про то, что с такими тенденциями может быть ограничена свобода пользователей Linux.
Для начала разрешат через конфиги отключать всю эту муть, а потом и до наложения патча на ядро дойти можно. Речь про это.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

40. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-13, 10:18 
> Для начала разрешат через конфиги отключать всю эту муть, а потом и
> до наложения патча на ядро дойти можно. Речь про это.

У вас все как-то топорно. Обычно такое в menuconfig-е ядра конфигурируется. Другое дело что тивоизаторы смогут еще наглее лочить системы в огороженных девайсах. Но по большому счету мы не приветствуем не сами ножи, а тех кто их втыкает в спину соседу.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

45. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от ананим on 17-Янв-13, 10:45 
>Речь про то, что с такими тенденциями может быть ограничена свобода пользователей Linux.

каким образом?
сырцы как были открытыми так и останутся.
более того, подписанные программы (и по-прежнему распространяемые под гпл) смогут выполнятся и в окружениях не рассчитанных на сабж.
с другой стороны, я смогу взять сырцы, подготовить/скомпилировать окружение и подписать его. после чего (с известной долей уверенности) могу рассчитывать на безобастность эксплуатации всего этого. и ключики держать на флэшке в сейфе.
>Для начала разрешат через конфиги отключать всю эту муть, а потом и до наложения патча на ядро дойти можно. Речь про это.

а сейчас их не накладывают что ли? или проги в андроиде нельзя подписывать?
разрешат, не разрешат — рабские рассуждения. это с уелой такое прокатывает. ну и в бсд иногда.
зыж
вот вроде и у мс секюребут и тд, вроде тоже самое… ан нет. есть огромная разница.
предохранение через кастрацию. при этом мерины счастливо ржут, когда мс их погоняет.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

54. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от linux must _RIP_ on 17-Янв-13, 12:56 
>>Речь про то, что с такими тенденциями может быть ограничена свобода пользователей Linux.
> каким образом?
> сырцы как были открытыми так и останутся.
> более того, подписанные программы (и по-прежнему распространяемые под гпл) смогут выполнятся
> и в окружениях не рассчитанных на сабж.

А ведь только недавно ты обливал грязью Motorola Droid который не давал грузить без подписи..
А ведь исходники открыты..

А теперь тут сказки рассказываешь - как это все круто.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

75. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от ананим on 18-Янв-13, 02:57 
Модератор? Какого х ты удалил ответ?
Или брехать уже разрешено? Главное чтобы культурно?

Повторяю
1. Про моторола вообще ничего не писал. И даже темы не помню.
2. Сабж не имеет отношения к тивоизации вообще никакого. Только идиот может это всё свалить в кучу.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

84. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от Crazy Alex (ok) on 18-Янв-13, 04:18 
Как же не имеет? Идеальный движок для тивоизации.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

85. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от ананим on 18-Янв-13, 04:57 
угу, как и компьютер идеальный движок для тивоизации и обмана.
а железо — идеальный движок для кандалов и гильотины.
бред короче.

зыж
ещё раз, каким образом вы запретите мне в системе с сабжем перекомпелировать ядро без поддержки сабжа?
никаким.
каким образом вы запретите в системе с сабжем подписывать программы и модули моими ключями?
никаким.

весь вопрос упирается в рут. если вы админ, то сабж ваш помошник.
а если нет, то вас уже(!!!) тивоизировали и сабж к этому не имеет никакого отношения. без разницы подписанный модуль вы не имеете право загрузить или не подписанный и тд.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

70. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от CssfPZS (ok) on 17-Янв-13, 18:35 
Внизапно, BIOS тоже можно перепрошить, так что по твоей логике получается, что все просто и
security boot это не тивизация, ведь ты всегда можешь написать свой bios и прошить его!

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

76. "Для Linux представлена система верификации исполняемых файло..."  +2 +/
Сообщение от ананим on 18-Янв-13, 03:05 
Ты дурак?
1. Где на биос сырцы?
2. В каком месте в секуре бут я могу вставить свои ключи (а не только мс), как в сабже?

Ты видимо настолько валенок, что для тебя 3-и разных сущьности (сабж, биос и снкуребут) свалились в одну

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

77. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от ананим on 18-Янв-13, 03:12 
Зыж
> security boot это не тивизация, ведь ты всегда можешь написать свой bios и прошить его!

Запомни, детка, секуребут работает с уефи. Только с уефи.
Там нет биоса. Прикинь? Вообще нет.

Ззыж
"написать свой биос" и "пересобрать ядро без поддержки сабжа" по трудозатратам для обычного пользователя соизмеримы с
"Слетать на Луну" и "сесть в маршрутку"

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

91. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Пр0х0жий (ok) on 20-Янв-13, 01:10 
>> security boot
> секуребут работает с уефи. Только с уефи.
> Там нет биоса. Прикинь? Вообще нет.

Secure boot начинается с BIOS, который Enable/Disable и при Disable разлочивает выбор UEFi/Legacy, если муд@к производитель не залочил функцию, например как Remap Memory Enable в Toshiba Satellite c855-21v при отсутствии её в BIOS опционально, из-за чего в x32 системах пользователь при 4Gb RAM потеряет ~1.35Gb вместо пятисот.
Более того, пользователь сходу снёсший стоявшую на ноуте w8 x64 не смог поставить w7 x32 из-за того, что встроенный менеджер разделов установщика упорно создавал gpt в 100mb при наличии которого legacy loader не мог передать управление загрузчику w7 и после POST тачка входила в мёртвый цикл boot/reset. Лечится принудительным созданием разделов из под Линукс в fdisk/cfdisk. Т.о. наблюдается начало привязывания пользователя к vendor-lock системам.

Поэтому, от такого вот г0вн@
https://www.opennet.ru/openforum/vsluhforumID3/87346.html
https://www.opennet.ru/openforum/vsluhforumID3/87564.html
попросил бы избавить, о котором говорил в контексте общей темы:
https://www.opennet.ru/opennews/art.shtml?num=35681#690

Всё это в тему "заверенного ключом Microsoft":
Господи, избави меня от "друзей", а от врагов я сам избавлюсь.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

5. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от Аноним локалхоста on 17-Янв-13, 01:18 
При желании, можно и на скрипты ввести ограничения запуска.

Примерная модель:
У скрипта без цифровой подписи не может быть атрибута "исполняемый", если файловая система смонтирована со специальной опцией.
Команда chmod +x file произведет подписывание бинарного или скриптового файла сертификатом пользователя, если не указан иной сертификат явно.

При этом, будет осуществлено обращение к аналогу ssh-agent, только ориентированному на выполнение этой задачи. Первое обращение вызовет открытие сертификата, далее всё по аналогии с ssh-agent и ssh в присутствии агента - пока сеанс не закрыт, или не заблокирован явным образом, пользователь имеет возможность выполнять подписывание.
Неподписаный скрипт, или скрипт с несоответствующей содержимому подписью, перед исполнением выводит предупреждение, а-ля ssh:
- то мне не нравится место исполнения,
- то не нравится длина параметров,
- наличие изменений в блоке строк с такой по такую,
- неизвестный публикатор,
- публикатор без права запуска на этой системе и прочее.

А подписаный скрипт может ругаться, что не выполнены условия для нормальной работы. Например:
- машина вне целевого домена,
- машина в другом режиме,
- пользователь не тот,
- дата запуска за пределами разрешенными подписью,
- сертификат публикующей стороны отозван...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Для Linux представлена система верификации исполняемых файло..."  +2 +/
Сообщение от Аноним (??) on 17-Янв-13, 04:03 
Евгений Велтистов. Рэсси - неуловимый друг:

- Вам одним открою строгую тайну. Я разработал Запрещающие Теоремы...
Профессор Громов видит перед собой внимательные лица. Глаза  профессора
улыбчивы, но говорит он  серьезно.  Идет  урок  математики  в  восьмом  "Б".
Учитель Таратар кивает  головой:  он  никогда  не  сомневался  в  могуществе
математики.
- Понимаете всю сложность этого  вопроса  для  прогресса  человечества?
Запрещающие Теоремы могли бы со временем остановить все машины.


Всё это уже предсказал профессор Громов. Человечество приступило к разработке "Запрещающих Теорем" :-(

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

37. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Аноним (??) on 17-Янв-13, 10:01 
> У скрипта без цифровой подписи не может быть атрибута "исполняемый"

Скрипты могут запускаться и так
source script_name.sh
или
sh script_name.sh

Т.е. получается sh должен уметь выполнять проверку подписи.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

68. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Аноним (??) on 17-Янв-13, 17:56 
> Скрипты могут запускаться и так
> source script_name.sh
> или
> sh script_name.sh
> Т.е. получается sh должен уметь выполнять проверку подписи.

Ну, если уж на то пошлО, то ВСЕ скрипты (некоторые явно, некоторые неявно - если помните, во всех скриптах первая строчка "#!чего-то-там", вот этим "чего-то-там" система его и будет пытаться открыть, если явно не указано) запускаются ОС именно таким образом.
Т.е., для запуска подписанных скриптов необходимым и достаточным условием есть наличие проверки подписи во ВСЕХ shell’ах на такой системе (sh, bash, tsh, csh, ash, ...). Если найдется хоть один, который без проверки подписи позволит запустить скрипт - то это все равно, что этой функции в системе нет вообще.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

69. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от www2 (??) on 17-Янв-13, 18:14 
Система может и сама проверить подпись у скрипта, прежде чем вызывать его интерпретатор.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

72. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Аноним (??) on 18-Янв-13, 00:19 
Тогда уж вообще у всех файлов открываемых в системе на чтение.
echo ls > test.txt
sh < test.txt
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

73. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Аноним (??) on 18-Янв-13, 00:22 
> Тогда уж вообще у всех файлов открываемых в системе на чтение.
> echo ls > test.txt
> sh < test.txt

или
cat test.txt | sh

не может же shell проверять подпись еще и у pipe.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

74. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Аноним (??) on 18-Янв-13, 00:28 
>> Тогда уж вообще у всех файлов открываемых в системе на чтение.
>> echo ls > test.txt
>> sh < test.txt
> или
> cat test.txt | sh
> не может же shell проверять подпись еще и у pipe.

или еще так

alias sh="cat test.txt | sh"
sh

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

88. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от Пр0х0жий (??) on 19-Янв-13, 22:43 
> У скрипта без цифровой подписи
> не может быть атрибута "исполняемый"

$ touch ./privet
$ echo "echo "PRIVET"" > privet
$ bash ./privet
PRIVET
$ cat ./privet
echo PRIVET

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

89. "Для Linux представлена система верификации исполняемых..."  +1 +/
Сообщение от arisu (ok) on 19-Янв-13, 23:31 
а зачем «тач»? эхо и так создаст.
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

92. "Для Linux представлена система верификации исполняемых..."  +/
Сообщение от Пр0х0жий (ok) on 20-Янв-13, 01:55 
> а зачем «тач»? эхо и так создаст.

Признаю, дал маху.
Но темы Цифровые подписи и Подписано ключом Майкрософт заводят с пол-оборота.
При нарастающих тенденциях.
Потому, что в #80 не в бровь, а в глаз.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

93. "Для Linux представлена система верификации исполняемых..."  +/
Сообщение от arisu (ok) on 20-Янв-13, 02:29 
> Но темы Цифровые подписи и Подписано ключом Майкрософт заводят с пол-оборота.

это да. пугает ещё количество людей, которые считают «ничего страшного», «какие молодцы, как здорово обманули m$»…

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

15. "Для Linux представлена система верификации исполняемых файло..."  –2 +/
Сообщение от Crazy Alex (ok) on 17-Янв-13, 03:06 
Вот интересно - оно кому-то реально нужно? Не в смысле security theatre - а чтобы реальная польза была? Мне как-то только вред видится - для тивоизации всё это - просто подарок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от Аноним (??) on 17-Янв-13, 03:14 
>оно кому-то реально нужно?
>чтобы реальная польза была?

Дурацкий вопрос. Им и нужно, зачем - предлагаю подумать самому.

>Мне как-то только вред видится - для тивоизации всё это

Это для тебя тивоизация вред, а для Копрорации Добра - неосвоенная прибыль.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

63. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Crazy Alex (ok) on 17-Янв-13, 15:09 
Выгоды этих товарищей мне не интересны.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-13, 09:55 
> Вот интересно - оно кому-то реально нужно? Не в смысле security theatre
> - а чтобы реальная польза была? Мне как-то только вред видится
> - для тивоизации всё это - просто подарок.

Ты просто темный и за пределами своего локалхоста ничего не знаешь.

Тащемта, BART изобрели уже лет 10 как. Basic Audit and Reporting Tool. Также, в промышленных никсах уже лет 8, если не вру, используется подписывание ELFов.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-13, 10:22 
> - а чтобы реальная польза была?

Ну например такая система для вломившегося в нее хакера - достаточно неудобна. Руткит не впихнешь, наиболее вредные действия - заворачиваются. Попытку юзать нечто левое со стороны кого-то не авторизованного админом можно засечь.

Собственно вопрос лишь в том на чьей стороне играет система. Да, таки придется разобраться "кто и как дрессировал эту собаку". До того как взять ее себе.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

47. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от К.О. on 17-Янв-13, 10:57 
>Ну например такая система для вломившегося в нее хакера - достаточно неудобна.

Не знаю не вламывался. Но судя по тому, что всплывали трояны подписанные вполне валидными сертификатами сложность это доставляет не для всех, а ложное ощущение безопасности дает.

Гораздо хуже, что такие сертификаты ограничены по времени. И когда, собака такая (пользуясь терминологией чуть выше), сдыхает (чисто виртуально) драйвер какой-нибудь лет через пяток, а производитель, что логично, его больше не поддерживает - получается профит.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

62. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от Crazy Alex (ok) on 17-Янв-13, 15:09 
Так это ж вроде селинуксом прикрывается скорее? Причем в его случае вопрос "на чьей стороне играет система" не стоит.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

80. "Для Linux представлена система верификации исполняемых..."  +2 +/
Сообщение от arisu (ok) on 18-Янв-13, 03:29 
> Ну например такая система для вломившегося в нее хакера — достаточно неудобна.

а если вообще не давать рута, не позволять ставить своё ядро, не… wait… OH, SHI~~~

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

94. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Мимоаноним on 22-Янв-13, 22:17 
Мне на ноуте (точнее, когда куплю новый взамен стареющему)

Украдут - без рефлэша ПЗУшки фигушки он заработает. Secure boot грузит строго подписанное ведро, ведро грузит строго разрешенную систему, строго разрешенная система работает только при наличии авторизации. Выдернуть винт и поменять ядро или систему нельзя, все верифицируется.

Таким образом, время установить ШИНДОШS и продать ноут не придет. Глядишь, все шансы за то, что утащенный ноут выкинут не сильно повредив, а потом его кто-нибудь найдет и вернет хозяину (благо мои контактные данные прописаны прямо на экране входа).

И то дело.

Правда придется сильно поискать еще ноут, чтобы secure boot там был адекватен, и позволял пользовательские ключи в TPM грузить, а потом не позволял их сбрасывать без ковыряний в железе. Увы.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Для Linux представлена система верификации исполняемых файло..."  +5 +/
Сообщение от Ph0zzy (ok) on 17-Янв-13, 07:04 
Если подправить законодательство "этой страны" то использование подобной технологии наконец позволит обойти дурацкую формулировку: "сертифицированным считается система, установленная с носителя, изготовленного в сертифицированной лаборатории", а также упростит процесс обновления сертифицированных дистрибутивов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-13, 10:26 
> Если подправить законодательство "этой страны" то использование подобной технологии

Гораздо проще просто регать фирму в другой стране. Где никто не заставляет прошибать стенки своим лбом вместо того чтобы просто вести бизнес и делать свое дело. А оно вам надо - с дубовыми чиновниками бодаться?

Непатриотично? Зато быстро, надежно и практично.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

44. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от VoDA (ok) on 17-Янв-13, 10:39 
>> Если подправить законодательство "этой страны" то использование подобной технологии
> Гораздо проще просто регать фирму в другой стране.

Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически важных предприятий.

Потом еще жить здесь, а фирму держать там не всегда просто. Опять же налоги для иностранцев могут быть заметно больше, чем для граждан "другой страны". Так что если фирма одна, то и регать ее нужно там, где работаешь.


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

48. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-13, 11:48 
>>> Если подправить законодательство "этой страны" то использование подобной технологии
>> Гораздо проще просто регать фирму в другой стране.
> Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически
> важных предприятий.
> Потом еще жить здесь, а фирму держать там не всегда просто. Опять
> же налоги для иностранцев могут быть заметно больше, чем для граждан
> "другой страны". Так что если фирма одна, то и регать ее
> нужно там, где работаешь.

Secure Boot - это Тивоизация в чистом виде.
GPL3 - такое запрещает.
Но  ядро на GPL2.

@"знатокам bios" - bios не поддерживате разделы HDD более 2Тб.
И не видит HDD более 3Тб.


Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

87. "Для Linux представлена система верификации исполняемых файло..."  –1 +/
Сообщение от mavriq_ on 19-Янв-13, 00:37 
> @"знатокам bios" - bios не поддерживате разделы HDD более 2Тб.

биос вообще с разделами не работает. если что - он нулевой сектор берет, по адресу x7c00 кидает и передает на него управление

> И не видит HDD более 3Тб.

почитайте про LBA. вам будет полезно

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

90. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Пр0х0жий (??) on 20-Янв-13, 00:17 
http://article.gmane.org/gmane.linux.kernel/957194

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

51. "Для Linux представлена система верификации исполняемых файло..."  +1 +/
Сообщение от ананим on 17-Янв-13, 12:34 
>Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически важных предприятий.

если ты не микрософт.
вот как интересно будут подписывать дрова для винды в связанных с гостайной проектах в мс (читать в пентагоне)?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

61. "Для Linux представлена система верификации исполняемых файло..."  +4 +/
Сообщение от Аноним (??) on 17-Янв-13, 13:59 
> Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически важных предприятий.

Так этому радоваться надо! Самые тупые, наглые, бюрократизированные волокитчики, выносящие мозг своим идиотизмом и полным непониманием что им надо - как раз вот такие вот шараги. Таких клиентов надо спихивать своим врагам.

Поэтому их отсутствие на горизонте - фича, а не баг. А в РФ туда еще и не подпустят и на пушечный выстрел, если у тебя знакомого министра обороны нет. Свои, знаешь ли, денег желают.

> Потом еще жить здесь, а фирму держать там не всегда просто.

Нормально. Обычно. Обыденно. Вон яндекс например. Казалось бы, российская фирма? А вот и фиг вам. Юридически - забугорная контора. Было бы не так - лакомый кусок давно бы уже отжали, в стиле обычного такого гоп-стопа. А вот так - номер не катит. Потому что пока мы бряцаем тем какое у нас правовое государство, в более цивилизованных странах не бряцают. Зато выполняют законы и не пытаются принимать всякий бред для выгораживания своих грязных задов.

> Опять же налоги для иностранцев могут быть заметно больше,

Это лучше чем если у тебя с нахрапом отожмут лакомый кусок. В таком виде ты вообще все потеряешь. Вон у рутрекера домен отжали без суда и следствия. У нас же правовое государство, все дела. Вконтакт выводы сделал и теперь они "совершенно случайно" продвигают vk.com, а вовсе не...  :). Легко догадаться из каких соображений.

> регать ее нужно там, где работаешь.

Вам нужно - вы и регайте. Только чур не плакать когда у вас ее в "правовом государстве" отожмут без суда и следствия, а потом доказывай, дескать, что не верблюд.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

81. "Для Linux представлена система верификации исполняемых..."  +1 +/
Сообщение от arisu (ok) on 18-Янв-13, 03:30 
> Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически
> важных предприятий.

а зачем это надо? ну, кроме «откатов и распилов», конечно.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

83. "Для Linux представлена система верификации исполняемых файло..."  +/
Сообщение от Аноним (??) on 18-Янв-13, 04:05 
Чем "оно" отличается от SELinux, в плане: при входе в ядро через первую же дырку, "оно" вырубается в первую очередь же!
Ну это конечно же если пользователь имеет право подписывать и выполнять на компьютере всякую хрень скачанную из сети (а он это обязательно подпишет и зпустит ;). Ну а если нет то это уже другая тема.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру