The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot

29.01.2013 10:16

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Кроме патчей для запрета kexec и hibernation при загрузке в режиме UEFI Secure Boot, Мэтью Гаррет опубликовал набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities - "CAP_COMPROMISE_KERNEL", предназначенный для выборочного предоставления привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot но в других ситуациях, требующих ограничения доступа к ядру.

  1. Главная ссылка к новости (http://paritynews.com/software...)
  2. OpenNews: Состояние поддержки UEFI Secure Boot в дистрибутивах Linux
  3. OpenNews: Опубликован заверенный загрузчик для использования UEFI Secure Boot в любых дистрибутивах Linux
  4. OpenNews: Для Linux представлена система верификации исполняемых файлов по цифровым подписям
  5. OpenNews: Анализ безопасности показал переоценку защиты с использованием "capabilities"
  6. OpenNews: Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/35949-uefi
Ключевые слова: uefi, secureboot
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (91) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, тфьу (?), 11:09, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    Сами себе придумали проблемы и героически с ними справились.

    Резюмируя - UEFI ни за чем не сдался!

     
     
  • 2.4, Аноним (-), 11:12, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Сам UEFI вполне вменяемая задумка. Но вот некоторые реализации это полный треш.
     
     
  • 3.18, EuPhobos (ok), 11:57, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вменяемая это задумка может быть только для маркетологов. UEFI - это полный бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут. А в данный момент лидером по UEFI себя считает дырявый Виндозе.
    Поэтому UEFI в данный момент полный бред, созданный для очередной стрижки бабла, мешающий нормальный работе, нормального компа.
     
     
  • 4.23, анонимм (?), 12:15, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +15 +/
    отстань от уефи, он хоть и раздутое добрецо, но злом и ональным зондом дозволения является секуребут.
     
  • 4.27, Аноним (-), 12:50, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут.

    Как бы это сказать? Загрузку модуля руткита от хакера такая технология таки зарубит на корню. Что может быть полезно для серверов. Другое дело что сам секурбут сделан черти-как и предлагается с ножом к горлу доверять каким-то майкрософтам и кому там еще.

    Просто любую технологию можно использовать не только во благо но и во вред окружающим. Вот благодаря реализации, secure boot получился скорее во вред. За отсутствием стандартного механизма для админов оставить только свои ключи и вытряхнуть все лишние, например. Ну и за проприетарностью неведомой фирмвары которой почему-то предлагается доверять.

     
     
  • 5.40, Аноним (-), 13:40, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Уважаемый коллега, Вы совершенно правы в части реализации - это вообще характерная черта Microsoft. Однако, представляется, здесь немного не та ситуация. А именно - порочна сама идея, что, впрочем, укзанной компании также свойственно. Обратите внимание на текст в заметке, где говорится о возможности подмены ядра при исполнении. А теперь замените просто ядро на ядро Windows. Т.о. совершенно вырисовывается тренд вирусописательства для Windows 8 на ближайшие годы (или месяцы, в зависимости от скорости распространения технологии secure boot UEFI).
     
  • 5.53, Аноним (-), 16:26, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут.
    > Как бы это сказать? Загрузку модуля руткита от хакера такая технология таки
    > зарубит на корню. Что может быть полезно для серверов.

    Вот-вот! Как бы ЭТО сказать! Вот объясните мне, тугодуму, как секурбут защитит от подписанного Микрософтом руткита, ну, скажем, запущенного как гипервизор? Если я правильно понимаю, подписать свой загрузчик у Микрософта за некоторое количество мертвых американских президентов можно. Или о чем речь? Если о запрете исполнения неподписанных модулей ядра, то при чем здесь секурбут с УЕФИ вообще?


     
     
  • 6.61, Аноним (-), 16:58, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот-вот! Как бы ЭТО сказать! Вот объясните мне, тугодуму, как секурбут защитит
    > от подписанного Микрософтом руткита,

    Воооот. А памятуя как они влепили вадидную подпись на ПО для индустриального шпионажа - не сомневаюсь что они и руткит подпишут в 2 счета.

     
  • 4.54, hakushka (ok), 16:28, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Мнение товарища который не видит разницы между UEFI и UEFI Secure Boot никого не интересует.
     
  • 4.63, kai3341 (ok), 17:04, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы вобще в состоянии отличить UEFI от UEFI Secure Boot?
     
  • 3.78, Michael Shigorin (ok), 23:46, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сам UEFI вполне вменяемая задумка.

    Всё-таки не вполне: как и EFI или ACPI, это результат чудовищного оверинжиниринга, содержащий в себе гигатонны окаменелых концепций и совместимости с наиглупейшими ошибками (fs0:, blk1:, бэкслеши радуют глаз со страшной силой).

    SecureBoot же напоминает то, как поверх скромного досового вирусного зоопарка вылили котёл питательной среды: сперва придавило, зато потом как рвануло...

    Заодно: http://mjg59.dreamwidth.org/12897.html
    и на всякий: http://mjg59.dreamwidth.org/13061.html
    а также: http://lwn.net/Articles/500231/

     
  • 2.7, Lain_13 (ok), 11:23, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +31 +/
    Да вы уже забодали путать весь UEFI с функцией Secure Boot! Сколько можно?
     
     
  • 3.64, kai3341 (ok), 17:07, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    +1. Остальные, осиляйте:
    UEFI: http://ru.wikipedia.org/wiki/UEFI
    Об UEFI SB вы уже знаете :)
     
  • 2.15, Xasd (ok), 11:52, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Сами себе придумали проблемы и героически с ними справились.
    > Резюмируя - UEFI ни за чем не сдался!

    истеричка, НОВОСТЬ НЕ ПРО UEFI..

     
  • 2.30, Anonplus (?), 13:28, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Слоупок?
    https://ru.wikipedia.org/wiki/Extensible_Firmware_Interface

    EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?

     
     
  • 3.79, Michael Shigorin (ok), 23:47, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?

    #78 выше почитайте, быстрый Вы наш гонзалес.  GPT и UEFI как раз и есть досообразные калеки, которые вносят примерно столько же проблем, сколько и решают.

     
     
  • 4.91, Аноним (-), 16:15, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?
    > #78 выше почитайте, быстрый Вы наш гонзалес.  GPT и UEFI как
    > раз и есть досообразные калеки, которые вносят примерно столько же проблем,
    > сколько и решают.

    GPT-то за что? Он отлично работает даже с BIOS-ами (не знаю, правда, может это и GRUB-овская прослойка, но у меня всё работает, и при этом далеко не новейшее железо и уж точно не UEFI) и убирает архаичные ограничения MBR - не надо усложнять всё расширенными разделами и вообще беспокоиться об их количестве, а также, актуадьно с новыми дисками - о максимальном объёме.

    Ну а UEFI - странная затея в наш XXI век, притом что инициализацию железа можно было вообще операционной системе отдать.

     

  • 1.2, Аноним (-), 11:11, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну и накой этот секуребут нужен, если он мешает нормально пользоваться собственным компом? Стационару то может и все равно, а вот ноут без sleep и hibernate как то несколько страннен.
     
     
  • 2.16, Xasd (ok), 11:53, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и накой этот секуребут нужен, если он мешает нормально пользоваться собственным
    > компом? Стационару то может и все равно, а вот ноут без
    > sleep и hibernate как то несколько страннен.

    надеюсь что проблем в sleep не будет

     
  • 2.37, Аноним (-), 13:39, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    После апдейта пользователей Федоры с севшей батареей ожидает сюрприз "для их же собственной безопасности"
     
     
  • 3.48, близняшко (?), 15:12, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> "для их же собственной безопасности"

    во-во, даст из тупикал мракетология.
    секуребут это не для собственной безопасности пользователей, а наоборот, производитель операционных систем не доверят пользователю, который (вдруг) попытается запустить их восьмерочку на нелегальном компьютере.

     
  • 3.51, Xasd (ok), 16:18, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > После апдейта пользователей Федоры с севшей батареей ожидает сюрприз

    то есть сначало у них компьютеры вообще не загружались, так как не было качественной поддержки Secure Boot в старой Fedora...,

    ...а потом [после обновления Fedora] БАЦ(!) и не работает Hibernate! :-D

    вот облом!

    </sarcasm>

     

  • 1.5, Assembler (?), 11:20, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    я вот сильно сомневаюсь что в ближайшие 10-15 лет много народу будет пользоваться операционками с UEFI Secure Boot
     
     
  • 2.12, Аноним (-), 11:41, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    UEFI Secure Boot встроен в BIOS всех ныне выпускаемых материнских плат, ОС тут вообще не причём.

    Таким образом, если твоя операционная система не поддерживает UEFI то ты просто не сможешь заставить её работать на твоём компьютере с UEFI материнской платой (за исключением тех случаев когда производитель материнской платы добавил в BIOS возможность отключить UEFI - но это делают далеко не все производители).

     
     
  • 3.29, Харитон (?), 13:18, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бывают толковые релизы.
    Например ноут ACER TM B113-E поставляется с БИОС, но если тебе надо УЕФИ для В8, то качай прошивку УЕФИ с сайта производителя, котоаря прошьется вместо БИОСа...
    Благодаря такому подходу я выбрал эту модель а не тупо УЕФИ, хотя ранее склонялся к Леново. Но танцы с УЕФИ меня остановили...
     
     
  • 4.31, Mr. Cake (?), 13:29, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Во всех Thinkpad-ах есть переключалка режима загрузки: через UEFI или Legacy (то биж BIOS).
     
  • 4.34, Аноним (-), 13:32, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо склоняться к Lenovo. У Ленововских ноутов есть серьезные проблемы с совместимостью UEFI с Linux. Линуксячье ядро не видит загрузочных записей EFI и пытаясь вписать свой загрузчик перезаписывает те записи, которые отвечают за вызов настроек БИОСа. Windows 8 делает тоже самое. Перепрошить БИОС нельзя, т.к. Леново не дает образ БИОСа. Проблема официально не признается, по гарантии меняют либо материнку либо ноут целиком.
     
     
  • 5.50, ноним (?), 16:14, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Что вы курите?
     
     
  • 6.62, Аноним (-), 17:01, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да если бы...
    Взгляните на досуге на forum.lenovo.com, либо в гугле вбейте "lenovo g580 uefi" будете несколько удивлены результатом.
     
     
  • 7.86, ноним (?), 11:16, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да если бы...
    > Взгляните на досуге на forum.lenovo.com, либо в гугле вбейте "lenovo g580 uefi"
    > будете несколько удивлены результатом.

    Все прекрасно разруливает efibootmgr.

     
     
  • 8.88, Аноним (-), 11:47, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сам то пробовал Или теоретик Объясняю механизм Ядро не может перечислить з... текст свёрнут, показать
     
  • 5.52, Гуго (?), 16:19, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Подтверждаю, как бывший пользователь Lenovo. Читал на форумах, проблемы также бывают и с Виндой, у тех, кто пытался использовать полное шифрование диска TrueCrypt-ом.

    Так что, Lenovo - уже не торт.

     
     
  • 6.70, Crazy Alex (ok), 18:34, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что осталось из рабочих машин? Синкпады были чуть ли не последней отдушиной, со своими строгими корпусами, тачпоинтом, приличной клавиатурой и общим дубовым и предельно продуманным исполнением. Но клавиатуру поменяли, внутри тоже,получается, нагадили...
     
     
  • 7.77, Аноним (-), 21:33, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А что осталось из рабочих машин? Синкпады были чуть ли не последней
    > отдушиной, со своими строгими корпусами, тачпоинтом, приличной клавиатурой и общим дубовым
    > и предельно продуманным исполнением. Но клавиатуру поменяли, внутри тоже,получается,
    > нагадили...

    Samsung?

     
     
  • 8.83, Crazy Alex (ok), 04:53, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А у них разве были дубовые и продуманные рабочие модели наподобие синкпадов ... текст свёрнут, показать
     
  • 7.87, Avator (ok), 11:29, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А какие альтернативы?
    Ноуты с докстанциями кроме Lenovo делают только HP и Toshiba, но крайне эпизодически.
    Может быть кто-то из производителей как Lenovo предоставляет подробную инструкцию по разбору на 200-300 страниц с парт номера всех деталей?
    Я согласен, что испортились, но никто все равно больше качественных ноутов для инженеров не делает =/
     
     
  • 8.89, Crazy Alex (ok), 15:07, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, в принципе я ещё видел Fujitsu T900 - осталось впечатление, что он из того ж... текст свёрнут, показать
     
  • 5.76, Аноним (-), 21:33, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    При установке Linux выбирайте конфигурацию с LVM.
     
     
  • 6.95, Аноним (-), 16:55, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > При установке Linux выбирайте конфигурацию с LVM.

    не пробовал, но слышал, что не советуют для десктопов - как оно?

     
  • 3.82, Michael Shigorin (ok), 01:02, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > UEFI Secure Boot встроен в BIOS всех ныне выпускаемых материнских плат, ОС
    > тут вообще не причём.

    Врёте.

    > когда производитель материнской платы добавил в BIOS возможность отключить UEFI
    > - но это делают далеко не все производители).

    Врёте.

    PS: я в альт добавил поддержку UEFI, если что.

     

  • 1.6, Аноним (-), 11:21, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    как тогда, интересно, вопрос с гибернацией в венде решен? Или они только других напрягают?
     
     
  • 2.13, dalco (ok), 11:48, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Например, сливаем в hyberfil.sys (или как он там?) все то же, что и всегда, но в конце дописываем электронную подпись содержимого файла. А при разгибернации это самое содержимое на корректность подписи проверяем. Совпала подпись - все путем, не совпала - ребут и загрузка компа с нуля.

    В принципе, ничего экстраординарного и относительно легко реализуется в любой ОС, которой приспичило полностью поддерживать secure boot.

     
     
  • 3.17, Xasd (ok), 11:56, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ... но в конце дописываем электронную подпись содержимого файла. А при разгибернации это самое содержимое на корректность подписи проверяем. ...

    1. откуда Операционная Система (Windows или не важно) возьмёт приватный ключ для создания цифровой подписи?

    2. как так получится что у вируса не будет этого приватного ключа?

     
     
  • 4.22, dalco (ok), 12:02, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. откуда Операционная Система (Windows или не важно) возьмёт приватный ключ для
    > создания цифровой подписи?
    > 2. как так получится что у вируса не будет этого приватного ключа?

    My bad, my bad... Да, о ключе я как-то забыл :(

    Возможно, как-то можно использовать TPM-модуль на мамке. Его же когда-то под что-то подобное и затачивали. Но тут я ноль полный - что может и что не может сей модуль и есть ли он на каждой мамке с secure boot - я не знаю.


     
     
  • 5.44, анноним (?), 13:59, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В bitlocker, вроде, уже сделано.

    Вообще, я немного удивлен, что TPM еще не полностью перетащили в современные процы. Я думал, что оно уже давно там. %\

     
     
  • 6.85, Avator (ok), 11:08, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Компьютеры с TPM запрещены к продаже в России и Китае. Возможно еще где-то, я точно не знаю.
    По этому использовать TPM для Secure Boot не вариант.
     
     
  • 7.90, Crazy Alex (ok), 15:09, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Хм, то есть технология таки приличная?
     
  • 7.97, Аноним (-), 19:38, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > По этому использовать TPM для Secure Boot не вариант.

    Ого, значит, я видел запрещенный компьютер. Это что-то типа запрещенных книг, да?
    Ну да, скоро у нас будет 451 по фаренгейту - http://izvestia.ru/news/543946


     
  • 6.96, Аноним (-), 19:35, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > В bitlocker, вроде, уже сделано.

    Он модуль TPM требует по нормальному. Или как минимум отчуждаемый носитель, что достаточно неудобно, т.к. втыкать-вытыкать флешку с ключом - утомительно. Иначе у него будет та же проблема.

    > Вообще, я немного удивлен, что TPM еще не полностью перетащили в современные
    > процы. Я думал, что оно уже давно там. %\

    Это требует энергонезависимой памяти для хранения ключей. А она не любит соседство с греющимся как печка ядром проца. Попросту говоря, флеш-память (ну и все EEPROM-based, как близкие родственники) от нагрева элементарно стирается. Ну вот так вот.

     
     
  • 7.98, анноним (?), 15:02, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Всем ответившим - спасибо за содержательные ответы о TPM.
     
     
  • 8.100, анноним (?), 21:21, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Простое спасибо уже режет слух ... текст свёрнут, показать
     
  • 2.14, rain87 (?), 11:50, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    чёто я не представляю, как можно решить вопрос с гибернацией. ключа чтоб подписать нет, а как иначе гарантировать целостность?

    чувак из рх как то очень рьяно подошёл к вопросу безопасности, сам себя теперь загоняет в тупик. все остальные спокойно забили на полную цепочку верификации и теперь не парят мозг

     
     
  • 3.19, Xasd (ok), 11:59, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > чёто я не представляю, как можно решить вопрос с гибернацией. ключа чтоб
    > подписать нет, а как иначе гарантировать целостность?
    > чувак из рх как то очень рьяно подошёл к вопросу безопасности, сам
    > себя теперь загоняет в тупик. все остальные спокойно забили на полную
    > цепочку верификации и теперь не парят мозг

    на мой скромный взгляд -- всё правильно ты говоришь за исключением "загоняет в тупик". :)

    думаю мотивация тут крайне логичная!!:

    никто не мешает пользователю зайти в SETUP и отключить там SecureBoot ...

    ..но в случае если же SecureBoot ВКЛючен -- то давайте не будем обманывать пользователя.

    пользователь хочет "безопасную загрузку"(?), ну значит либо он её получит, либо пусть перестанет её хотеть!

     
     
  • 4.71, Crazy Alex (ok), 18:41, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Просто уже стало очевидным, что чисто и аккуратно реальная безопасная загрузка не получается. Больше тогоо - это было более-менее понятно с самого начала, тотальная безопасность всегда создавала такую массу проблем,что по возможности с ней никто не связывается, за исключением особо озабоченный DRM-щиков (регулярно и добавляющих пользователю сложности). Действительно не совсем понятно, чего добиваются редхатовцы с этим. В конце концов, десктопами они не занимаются как бизнесом, а сервер, даже если ему актуален сон (уж не знаю,зачем), достаточно защитить от физического доступа, чтобы никто образ не подменил.
     

  • 1.8, Аноним (-), 11:24, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Они там того? Следующий шаг это - запрет использования своего ядра?
     
     
  • 2.10, qqq (??), 11:27, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Они там того? Следующий шаг это - запрет использования своего ядра?

    Так уже вроде. Если загрузчик может грузить только подписанное ядро.

     
     
  • 3.20, Xasd (ok), 12:01, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ... загрузчик может грузить только подписанное ядро.

    включая также и загрузку свого ядра. :)

    разница в том что теперь его надо подписать (а раньше не надо было).


     
     
  • 4.55, Аноним (-), 16:35, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> ... загрузчик может грузить только подписанное ядро.
    > включая также и загрузку свого ядра. :)
    > разница в том что теперь его надо подписать (а раньше не надо
    > было).

    Ну, это только в том случае, если китайцы не поленятся сделать возможность добавить свои ключи в Secureboot на конкретной Вашей железяке. Иначе - только подписанные теми, что в нем есть :(

     
     
  • 5.60, Xasd (ok), 16:52, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>> ... загрузчик может грузить только подписанное ядро.
    >> включая также и загрузку свого ядра. :)
    >> разница в том что теперь его надо подписать (а раньше не надо
    >> было).
    > Ну, это только в том случае, если китайцы не поленятся сделать возможность
    > добавить свои ключи в Secureboot на конкретной Вашей железяке. Иначе -
    > только подписанные теми, что в нем есть :(

    разве?

    мне кажется Shim сможет загрузить пользовательское ядро (подписанное пользователем, используя пользовательский ключ), даже в случае если катайцы поленятся...

    [я может ошибаюсь? Да/Нет?]

     
  • 2.67, source (?), 18:30, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Они там того? Следующий шаг это - запрет использования своего ядра?

    А зачем вам своё ядро? Зачем вам вообще линукс? Все пользуются виндовс. Почему Вы — нет? Может Вы террорист? Или педофил.

    *sigh*

     

  • 1.21, Аноним (21), 12:01, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ..одни дуроломы придумали бред..
    другие его продолжают делать..
    если так и дальше пойдет.. то все печально.
     
  • 1.24, Assembler (?), 12:20, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    сегодня еще новость вышла, что через 2 года начинается замена паспартов на пластиковые карточки, кругом одни ограничения, мир катится в тоталитарное общество
     
  • 1.25, Аноним (-), 12:34, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    IMHO: Предчувствую, что будет как с Java, через год выяснится что всё это Secure Boot до фени и обход ограничений взломщиками возможен без серьёзных затрат … у M$ просто не может быть иначе.
     
  • 1.26, Аноним (-), 12:41, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ребята, кто в теме расскажите плиз как обстоят сейчас дела в реальности по продажам новых устройств (сервера, ноутбуки) с этой паразитной технологией?

    Кто уже реально сталкивался с этим?

    Насколько адекватна возможность реального отключения этого?

    Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?

    Собираюсь приобрести новый ноут и эти новости совсем не радуют так и до покупки маков можно дойти :) Идиотизм - спрос на маки и андроиды явно подрастет.

     
     
  • 2.28, Xasd (ok), 12:55, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Идиотизм - спрос на маки и андроиды явно подрастет

    прям подскочит огромным скачком, величиной аж до 2~5% :-D

     
  • 2.32, Харитон (?), 13:29, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/

    > Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?

    Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб не нарваться на секюребут

     
     
  • 3.43, Аноним (-), 13:53, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?
    > Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб
    > не нарваться на секюребут

    Спасибо за отзыв - тоже присматривался к этому бренду. В моем списке кандидатов он имеется.

    ASUS, ACER, TOSHIBA, Lenovo

    "Знаки вопроса"
    Dell (может быть), Fujitsu, HP, Samsung, Nec, Panasonic, MSI

     
     
  • 4.57, Xasd (ok), 16:40, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > "Знаки вопроса"
    > Dell (может быть), Fujitsu, HP, Samsung, Nec, Panasonic, MSI

    сегодня пришлось выйти из дома (обычно я очень редко выхожу) и я защёл в магазин -- там продавались ноутбуки.

    среди них были ноутбуки Dell, на которых были установлены Убунты. (процессоры: Intel i3 второго поколения, и ещё какието менее скоростные тоже от Intel. i7 и i5 не видел)

    очень удивился!

    кроме Dell -- других ноутбуков с предустановленным Linux не видел.
    [предустановленный Linux-то не нужен, сам по себе, а вот относительно отсутвия SecureBoot думаю это не плохой индикатор!]

     
     
  • 5.72, Crazy Alex (ok), 18:42, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если там предустановлена нормальная убунта - то по-моему это очень даже в плюс.
     
  • 5.74, Аноним (-), 19:57, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Молодцы Делловцы - что можно сказать.
    Интересно, как у них на серверах дела обстоят?

    В целом, по поводу Dell у меня сформировалось насчет ноутов следующее:
    покупал когда-то инспирон 1896 с вистой. На висте было дофига всяких зондов, потом вообще перестала принимать обновления. Потом батарея перестала работать. Поставил убунту - все было ок. Но как надежная железяка не очень: со временем отвалились клавиши, кнопки тачпада перестали нормально нажиматься, не очень стойко перенес перегрев, на винде винт глючил. В убунте все работало. Создалось ощущение, что делловцы как-то "кодируют" свои железки на срок службы ))

     
  • 4.80, Michael Shigorin (ok), 00:56, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб
    >> не нарваться на секюребут

    Пишу с ноута asus, где он есть, но отключаемый -- как и на любой x86-железке "win8 ready" или как их там.

    > Спасибо за отзыв - тоже присматривался к этому бренду.

    Он странный -- удачные модели бывают, но это "знать надо", обычно хлам по части корпуса, батарейки и общего качества сборки.

    > В моем списке кандидатов он имеется.

    В моём -- нет...

    > ASUS, ACER, TOSHIBA, Lenovo

    Тошибы давненько не щупал, из "японцев" более интересны фуджики (крайне живучие).  Lenovo можно плавно забывать -- эти твари уже убили и IBM-овскую клаву, а сборка скатилась ещё в T43.

    > "Знаки вопроса"

    Про ноуты HP слышал от продавцов и знакомых, что БП в последнее время странно часто летят.

     
     
  • 5.94, Аноним (-), 16:53, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален спасибо за отзыв к сожалению доля выпуска фуджиков сокр... большой текст свёрнут, показать
     
  • 2.33, Anonplus (?), 13:29, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ноутбуки и сервера на андроиде? Я тоже хочу такой травы.
     
     
  • 3.38, Аноним (-), 13:39, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    почему бы нет? :)

    если сервера станут со спичечный коробок, то это было бы одним из главных технологических прорывов на обозримом горизонте ))

     
     
  • 4.93, Аноним (-), 16:39, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > почему бы нет? :)
    > если сервера станут со спичечный коробок, то это было бы одним из
    > главных технологических прорывов на обозримом горизонте ))

    Оно конечно неплохо будет если так призадуматься, но:

    вы представляете себе сколько тогда предприятий и фирмочек останутся без работы если такое произойдет? Таможням добавится работы - придется обыскивать карманы на предмет ввоза серверов. А дата-центрам что делать? А как хулиганов тогда ловить? И что с вебом будет? Тотальный p2p?

     
  • 3.39, Аноним (-), 13:40, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ноутбуки и сервера на андроиде? Я тоже хочу такой травы.

    угощайся ))

     
  • 2.81, Michael Shigorin (ok), 00:59, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Собираюсь приобрести новый ноут и эти новости совсем не радуют так и
    > до покупки маков можно дойти :)

    На мак линукс воткнуть всё-таки сложнее, там железо официально "не ПК-совместимое" и в т.ч. благодаря как раз фирмвари.  Сам обдумывал, грустно глядя на куцый выбор железок с приличной матрицей -- в итоге остановился на UX31A с мелкими, но терпимыми проблемами вроде отсутствия выделенных pgup/pgdn & co.

     
     
  • 3.92, Аноним (-), 16:32, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    тоже присматриваюсь к asus - не лучший вариант конечно, но более менее из рисков... большой текст свёрнут, показать
     

  • 1.35, UEFI сдохни (?), 13:34, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы решить на уровне ядра проблемы, которые он не смог решить за 20 лет на уровне ОС. Это я про безопасность своего днища.
     
     
  • 2.36, Василиса (?), 13:36, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Все верно же, от вирусов избавиться не смогли, теперь костыли в ядро пихают.
     
  • 2.41, Anonplus (?), 13:43, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
    > решить на уровне ядра проблемы, которые он не смог решить за
    > 20 лет на уровне ОС. Это я про безопасность своего днища.

    Да нихрена ты не понял, не надо врать. Торвальдс эту фигню придумал, Торвальдс.

    А если серьезно, почитай статью в википедии хотя бы, тогда хоть знать будешь, кто придумал EFI
    https://ru.wikipedia.org/wiki/Extensible_Firmware_Interface

     
     
  • 3.73, Crazy Alex (ok), 18:43, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Буковку "U" видите? Это разные стандарты.
     
  • 3.45, DeadLoco (ok), 14:14, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > "Хотите на свой пэка наклеечку Win8 ready - сделайте эту фичу неотключаемой"

    Полагаю, наклеечка "Win8-free" будет пользоваться бешеной популярностью...

     
  • 3.46, IMHO (?), 14:28, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  Эти люди и придумали SecureBoot.

    Их укусил Поттеринг ?
    Кто эти люди, к Столлману их в ссылку

     
  • 3.47, К.О. (?), 14:30, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Это один из механизмов защиты от руткитов и прочей дряни.

    Не руткитов, а буткитов. :)

     
  • 2.58, Аноним (-), 16:42, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
    > решить на уровне ядра проблемы, которые он не смог решить за
    > 20 лет на уровне ОС. Это я про безопасность своего днища.

    Опять Вы наслушались сказок о том, что Микрософт что-то создал. Скоро "новое поколение" будет "так понимать", что все в этом мире создал великий Микрософт :( Почитайте, хотя бы http://ru.wikipedia.org/wiki/Extensible_Firmware_Interface


     
  • 2.69, Аноним (-), 18:33, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
    > решить на уровне ядра проблемы, которые он не смог решить за
    > 20 лет на уровне ОС. Это я про безопасность своего днища.

    У них не так проблемы решают. У них проблемы решают сертифицированные пропагандёры, которые вам расскажут, что проблемы, на самом деле, нет. Это всё сказки-страшилки для ламеров.

     

  • 1.56, none7 (?), 16:38, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А ждущий режим оставили? Зря, ведь предварительно охладив память можно выдрать её  из материнской платы не потеряв данных, прочесть/переписать нужные куски, а затем запихнуть обратно. Единственный выход гарантировать безопасность это цифровая подпись, сгенерированная материнской платой ну или хранить весь компьютер в сейфе, остальное просто глупость.
     
     
  • 2.59, Xasd (ok), 16:43, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > предварительно охладив память можно выдрать её из материнской платы не потеряв данных

    в жидком азоте? :)

    ...а ядро эффекта массы -- нужно ли применять?

    хочу попробовать! это же отличная идея!

     
     
  • 3.65, none7 (?), 17:08, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Давно я читал эту новость, сейчас смог нарыть только это https://citp.princeton.edu/research/memory/
     
  • 3.84, Crazy Alex (ok), 05:03, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Там даже азота не надо, баллончика со сжатым воздухом достаточно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру