Один из инженеров из компании Red Hat представил (https://lkml.org/lkml/2013/1/15/615) в списке рассылки разработчиков ядра Linux патчи с реализацией системы верификации исполняемых файлов в формате ELF с использованием цифровых подписей. Разработка дополняет систему верификации модулей ядра, созданную в рамках проекта по обеспечению поддержки механизма UEFI Secure Boot.
В текущей реализации режима верификации модулей ядра пришлось заблокировать механизм kexec наряду с другими возможностями, которые могут быть использованы для обхода цепочки проверки загружаемых модулей (через kexec могло быть запущено ядро в режиме без проверки цифровых подписей модулей). Одним из предложенных решений указанной проблемы стала поддержка проверки по цифровой подписи исполняемого файла /sbin/kexec (http://linux.die.net/man/8/kexec), применяемого для загрузки нового ядра с использованием системного вызова sys_kexec(). Другим мотивом обеспечения верификации исполняемых файлов являлось желание выполнения команды kdump для ядер, загруженных в режиме UEFI Secure Boot. Другой возможностью является создание полностью верифицируемых систем, в которых гарантируется неизменность не только ядра, но и исполняемых компонентов пользовательского уровня.
Кроме патчей для ядра Linux представлена новая утилита signelf, предназначенная для заверения исполняемых файлов ELF с использованием закрытого ключа и сертификата x509, созданных в процессе сборки ядра Linux с включенным режимом верификации. В процессе выполнения вызова exec(), ядро проверяет снабжён ли файл цифровой подписью и проводит верификацию (проверяется загружаемое в память содержимое секции PT_LOAD). Если цифровая подпись соответствует проверочному ключу или файл не подписан, то программа выполняется в обычном режим, иначе выполнение блокируется.
В настоящее время поддерживается только подписывание статически слинкованных исполняемых файлов. В силу необходимости формирования подписей для всех используемых библиотек пока не поддерживается динамическое связывание. Явное обращение к вызову dlopen() не блокируется, поэтому задействование в программе данной функции следует проверять вручную перед формированием подписи.
Из других проектов по использованию цифровых подписей для защиты целостности исполняемых файлов можно отметить интегрированную начиная с ядра Linux 2.6.30 инфраструктуру IMA (http://lwn.net/Articles/227937/) (Integrity Management Architecture) и предложенные компанией Ericsson системы DSI (http://disec.sourceforge.net/) (Distributed Security Infrastructure) и DigSig (Digital Signature in the Kernel).URL: https://lkml.org/lkml/2013/1/15/615
Новость: http://www.opennet.me/opennews/art.shtml?num=35852
UEFI и подобная хрень не нужны на десктопе.
UEFI это замена BIOS вообще-то, а Secure Boot отдельная тема.
Не замена, а расширение/дополнение. Без BIOS или coreboot UEFI бесполезен, так как не умеет инициализировать устройства, что и является основной задачей BIOS.
> Без BIOS или coreboot UEFI бесполезен,Вас обманули. UEFI - это "универсальный расширяемый фирмварный интерфейс". Возможно сделать UEFI без какой либо иной прослойки. Ну то-есть, нечто вывешивающее интерфейсы UEFI совершенно не обязано строить свои услуги поверх BIOS. Самые новые "bios" уже именно uefi в основе своей, а совместимость с легаси и кусок биоса для оной там так, до кучи проволокой сбоку примотаны.
Не совсем - SEC и PI - не часть UEFI, UEFI - это лишь "ядро операционной системы" без загрузчика и драйверов, которые закрыты по сути своей и не стандартизированы. Про совместимость правда - BIOS лишь эмулируется в UEFI через CSM модуль. В скором времени CSM модуль не будет поставляться.
> UEFI это замена BIOS вообще-тоОт этого он не становится нужным. Никаких проблем BIOS он собственно не решает, кроме поддержки GPT, которую и в Legacy BIOS можно было добавить.
Таки поддерживаю. Закрытая фигня не нужна на десктопе! Coreboot лучше будет)
Вот вроде и хорошая вещь, но опять её повернут против пользователя. Тот же гугл в своём андройде, наверно, с удовольствием такое прикрутит, чтоб сложнее было получить рутовые права без спросу. И т. д.
> Вот вроде и хорошая вещь, но опять её повернут против пользователя. Тот
> же гугл в своём андройде, наверно, с удовольствием такое прикрутит, чтоб
> сложнее было получить рутовые права без спросу. И т. д.На кой ляд тебе рутовые права в смарте? Консоль запускать и чесать ЧСВ?
>На кой ляд тебе рутовые права в смарте?Смарт в Китае за сто бачей купил и теперь надо китайчатину выпилить.
> теперь надо китайчатину выпилить.меняй прошивку через ClockworkMod . на китайских телефонах зачастую бывает что ClockworkMod уже установлен.
Его без рута даже толком не настроить. Неюзабильно, в общем.
Конечно. А тебе этого разве не хотелось бы?
> На кой ляд тебе рутовые права в смарте?на кой ляд тебе ключи от квартиры? входи-выходи, когда ЖЭК позволит.
> Вот вроде и хорошая вещь, но опять её повернут против пользователя. Тот
> же гугл в своём андройде, наверно, с удовольствием такое прикрутит, чтоб
> сложнее было получить рутовые права без спросу. И т. д.Но ведь гугл исходники выкладывает? отключаете сертификацию и перекомпилируете ядро...
2008-07-15 16:13:03 GMTЛинус Торвальдс сравнил сообщество OpenBSD, которое известно своей тягой к корректному и безопасному коду, с группой мастурбирующих обезьян (bunch of masturbating monkeys), которые целиком концентрируются на вопросах безопасности, в то время как существуют и другие важные проблемы.
"Security people are often the black-and-white kind of people that I can't stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them", - заявил Бог Линукса.
источник: http://article.gmane.org/gmane.linux.kernel/706950
Получается что онанизм это заразная болезнь с инкубационным периодом в четыре с половиной года.
И еще остается вопрос, какова потеря производительности и гибкости системы при таких выкрутасах, потому как генерирование подписей и их верификация неплохо так CPU отъедать может.
Чувак, ты чувствуешь разницу между:
- целиком концентрируются на вопросах безопасности, в то время как существуют и другие важные проблемы
- тоже работают над безопасностью?
Во первых от чувака слышу.
Во вторых все эти пляски могут выйти боком.
И потом OpenBSD ВНИЗАПНА еще и операционная система и там работают не только над безопасностью но над другими программными компонентами.<сарказм>
И да мелкософт тоже работает над обеспечением нашей свободы, сначала scurity boot а потом и чипы в мозг будут вживлять, и главное все это не со зла, а для нас, для людей!
Ага.</сарказм>
> И потом OpenBSD ВНИЗАПНА еще и операционная система и там работают не
> только над безопасностью но над другими программными компонентами.Ну так воспользуйся OpenBSD вместо линукса, какие проблемы то? Посмотрим как тебе это понравится. Заодно на своей шкурке и сравнишь результаты подходов тех или иных "обезьян".
>>Линус Торвальдс сравнил сообщество OpenBSD, которое известно своей тягой к корректному и безопасному коду, с группой мастурбирующих обезьян
>>Для Linux представлена система верификации исполняемых файлов по цифровым подписямИ где же ваш Линус теперь?
>>>Линус Торвальдс сравнил сообщество OpenBSD, которое известно своей тягой к корректному и безопасному коду, с группой мастурбирующих обезьян
>>>Для Linux представлена система верификации исполняемых файлов по цифровым подписям
> И где же ваш Линус теперь?Дрочит в углу. :))))))))
> И где же ваш Линус теперь?Там же где и раньше. Сами по себе подписи не являются абсолютным вселенским злом.
Хотите пример, который понятен даже кухарке?Пусть ОС - это собака, умеющая выполгнять команды. Кернел чем-то таким и занимается, выполняя команды от программ через системные вызовы.
Ключи - "собака узнает голос владельца". Чей ключ (голос), тот и хозяин.В случае системы без подписей, наша собака доверчиво выполняет команды любого человека. Для некоторых (root) побольше. Для некоторых - поменьше. Прикинуться root'ом несложно: собака не обращает внимание на голос. Поэтому достаточно чтобы одежда была как у хозяина. Поскольку это не так уж сложно, постепенно выясняется что есть шутники, недоброжелатели и просто халявщики, которые могут специально напялить одежду как у вас и использовать вашу собаку в своих целях. Возможно вредных для вас или собаки. Понятное дело что вам это нравиться не обязано.
В случае системы с подписями - вопрос лишь в том чьего голоса слушается собака. Вот тут возможны варианты.
- Вам могут попробовать втюхнуть уже взрослую, выдрессированную собаку ("программно-аппаратный комплекс", залоченный ключами на вендора). С аргументацией что "зато вам не надо тратить свои силы на дрессировку". Такая собака уже составила свое мнение о том кто ее настоящие хозяин (кто ключ прописывал). Поскольку истинный хозяин приказал служить вам - приходится выполнять и ваши команды до кучи. Но только минимум. А истинный хозяин и его знакомые в случае чего имеют приоритет. Собака в принципе не будет кусать своего дрессировщика и его друзей, даже если они на вас с арматурой лезут и вам такая услуга была бы кстати. Вместо этого "ваша" собака при случае прокусывает окорок именно ... вам, если дрессировщик так попросил.
- Но вы можете взять молодого необученного щенка. Которого еще никто не дрессировал. В этом случае он после дрессировки будет откликаться только на ваш голос (ваш ключ) и из него вырастет весьма лояльный пес, который за вас горой, на провокации от посторонних - не покупается, и вообще, всегда на вашей стороне.
Внимание, вопрос: являются ли все собаки узнающие голос своего хозяина и различающие его от окружающих абсолютным злом? ИМХО нет. Просто надо понимать кто настоящий хозяин вон той штуки.
>есть шутники, недоброжелатели и просто халявщики, которые могут специально напялить одежду как у вас и использовать вашу собаку в своих целяхА если двери стальные, на окнах решетки в руку толщиной, замки сейфовые (т.е. стоит Линукс) нахрена все эти заморочки?
Можно даже на собаку намордник и дома надевать (SELinux).
Конечно, в ветхой хибаре, где дыр больше чем окон и дверей вместе взятых, есть какие-то проблемы, но переносить их на надежные, стабильные системы - это перебор...
>>есть шутники, недоброжелатели и просто халявщики, которые могут специально напялить одежду как у вас и использовать вашу собаку в своих целях
> А если двери стальные, на окнах решетки в руку толщиной, замки сейфовые
> (т.е. стоит Линукс) нахрена все эти заморочки?
> Можно даже на собаку намордник и дома надевать (SELinux).
> Конечно, в ветхой хибаре, где дыр больше чем окон и дверей вместе
> взятых, есть какие-то проблемы, но переносить их на надежные, стабильные системы
> - это перебор...Эти сейфы взломаны уже наверное тысячи раз (это только известные случаи), а вы все в сказки верите.
>> И где же ваш Линус теперь?
> Там же где и раньше. Сами по себе подписи не являются абсолютным
> вселенским злом.
> Хотите пример, который понятен даже кухарке?А столман считает иначе. И стадо линукс обезьян кричат что Secure boot это зло.. А вы тут пытаетесь рассказать что это не так.. Так кто же прав ?!
Ошибаешься, обезьяны кричат, что linux must rip.
нельзя сравнивать то что openbsd следит за безопасным написанием кода, с тем что творит мелкософты. МС вообще не заботит никакая безопасность. им самое главное ограничить свободу пользователя по самые яйца.
> нельзя сравнивать то что openbsd следит за безопасным написанием кода, с тем
> что творит мелкософты. МС вообще не заботит никакая безопасность. им самое
> главное ограничить свободу пользователя по самые яйца.Речь про то, что с такими тенденциями может быть ограничена свобода пользователей Linux.
Для начала разрешат через конфиги отключать всю эту муть, а потом и до наложения патча на ядро дойти можно. Речь про это.
> Для начала разрешат через конфиги отключать всю эту муть, а потом и
> до наложения патча на ядро дойти можно. Речь про это.У вас все как-то топорно. Обычно такое в menuconfig-е ядра конфигурируется. Другое дело что тивоизаторы смогут еще наглее лочить системы в огороженных девайсах. Но по большому счету мы не приветствуем не сами ножи, а тех кто их втыкает в спину соседу.
>Речь про то, что с такими тенденциями может быть ограничена свобода пользователей Linux.каким образом?
сырцы как были открытыми так и останутся.
более того, подписанные программы (и по-прежнему распространяемые под гпл) смогут выполнятся и в окружениях не рассчитанных на сабж.
с другой стороны, я смогу взять сырцы, подготовить/скомпилировать окружение и подписать его. после чего (с известной долей уверенности) могу рассчитывать на безобастность эксплуатации всего этого. и ключики держать на флэшке в сейфе.
>Для начала разрешат через конфиги отключать всю эту муть, а потом и до наложения патча на ядро дойти можно. Речь про это.а сейчас их не накладывают что ли? или проги в андроиде нельзя подписывать?
разрешат, не разрешат — рабские рассуждения. это с уелой такое прокатывает. ну и в бсд иногда.
зыж
вот вроде и у мс секюребут и тд, вроде тоже самое… ан нет. есть огромная разница.
предохранение через кастрацию. при этом мерины счастливо ржут, когда мс их погоняет.
>>Речь про то, что с такими тенденциями может быть ограничена свобода пользователей Linux.
> каким образом?
> сырцы как были открытыми так и останутся.
> более того, подписанные программы (и по-прежнему распространяемые под гпл) смогут выполнятся
> и в окружениях не рассчитанных на сабж.А ведь только недавно ты обливал грязью Motorola Droid который не давал грузить без подписи..
А ведь исходники открыты..А теперь тут сказки рассказываешь - как это все круто.
Модератор? Какого х ты удалил ответ?
Или брехать уже разрешено? Главное чтобы культурно?Повторяю
1. Про моторола вообще ничего не писал. И даже темы не помню.
2. Сабж не имеет отношения к тивоизации вообще никакого. Только идиот может это всё свалить в кучу.
Как же не имеет? Идеальный движок для тивоизации.
угу, как и компьютер идеальный движок для тивоизации и обмана.
а железо — идеальный движок для кандалов и гильотины.
бред короче.зыж
ещё раз, каким образом вы запретите мне в системе с сабжем перекомпелировать ядро без поддержки сабжа?
никаким.
каким образом вы запретите в системе с сабжем подписывать программы и модули моими ключями?
никаким.весь вопрос упирается в рут. если вы админ, то сабж ваш помошник.
а если нет, то вас уже(!!!) тивоизировали и сабж к этому не имеет никакого отношения. без разницы подписанный модуль вы не имеете право загрузить или не подписанный и тд.
Внизапно, BIOS тоже можно перепрошить, так что по твоей логике получается, что все просто и
security boot это не тивизация, ведь ты всегда можешь написать свой bios и прошить его!
Ты дурак?
1. Где на биос сырцы?
2. В каком месте в секуре бут я могу вставить свои ключи (а не только мс), как в сабже?Ты видимо настолько валенок, что для тебя 3-и разных сущьности (сабж, биос и снкуребут) свалились в одну
Зыж
> security boot это не тивизация, ведь ты всегда можешь написать свой bios и прошить его!Запомни, детка, секуребут работает с уефи. Только с уефи.
Там нет биоса. Прикинь? Вообще нет.Ззыж
"написать свой биос" и "пересобрать ядро без поддержки сабжа" по трудозатратам для обычного пользователя соизмеримы с
"Слетать на Луну" и "сесть в маршрутку"
>> security boot
> секуребут работает с уефи. Только с уефи.
> Там нет биоса. Прикинь? Вообще нет.Secure boot начинается с BIOS, который Enable/Disable и при Disable разлочивает выбор UEFi/Legacy, если муд@к производитель не залочил функцию, например как Remap Memory Enable в Toshiba Satellite c855-21v при отсутствии её в BIOS опционально, из-за чего в x32 системах пользователь при 4Gb RAM потеряет ~1.35Gb вместо пятисот.
Более того, пользователь сходу снёсший стоявшую на ноуте w8 x64 не смог поставить w7 x32 из-за того, что встроенный менеджер разделов установщика упорно создавал gpt в 100mb при наличии которого legacy loader не мог передать управление загрузчику w7 и после POST тачка входила в мёртвый цикл boot/reset. Лечится принудительным созданием разделов из под Линукс в fdisk/cfdisk. Т.о. наблюдается начало привязывания пользователя к vendor-lock системам.Поэтому, от такого вот г0вн@
http://www.opennet.me/openforum/vsluhforumID3/87346.html
http://www.opennet.me/openforum/vsluhforumID3/87564.html
попросил бы избавить, о котором говорил в контексте общей темы:
http://www.opennet.me/opennews/art.shtml?num=35681#690Всё это в тему "заверенного ключом Microsoft":
Господи, избави меня от "друзей", а от врагов я сам избавлюсь.
При желании, можно и на скрипты ввести ограничения запуска.Примерная модель:
У скрипта без цифровой подписи не может быть атрибута "исполняемый", если файловая система смонтирована со специальной опцией.
Команда chmod +x file произведет подписывание бинарного или скриптового файла сертификатом пользователя, если не указан иной сертификат явно.При этом, будет осуществлено обращение к аналогу ssh-agent, только ориентированному на выполнение этой задачи. Первое обращение вызовет открытие сертификата, далее всё по аналогии с ssh-agent и ssh в присутствии агента - пока сеанс не закрыт, или не заблокирован явным образом, пользователь имеет возможность выполнять подписывание.
Неподписаный скрипт, или скрипт с несоответствующей содержимому подписью, перед исполнением выводит предупреждение, а-ля ssh:
- то мне не нравится место исполнения,
- то не нравится длина параметров,
- наличие изменений в блоке строк с такой по такую,
- неизвестный публикатор,
- публикатор без права запуска на этой системе и прочее.А подписаный скрипт может ругаться, что не выполнены условия для нормальной работы. Например:
- машина вне целевого домена,
- машина в другом режиме,
- пользователь не тот,
- дата запуска за пределами разрешенными подписью,
- сертификат публикующей стороны отозван...
Евгений Велтистов. Рэсси - неуловимый друг:- Вам одним открою строгую тайну. Я разработал Запрещающие Теоремы...
Профессор Громов видит перед собой внимательные лица. Глаза профессора
улыбчивы, но говорит он серьезно. Идет урок математики в восьмом "Б".
Учитель Таратар кивает головой: он никогда не сомневался в могуществе
математики.
- Понимаете всю сложность этого вопроса для прогресса человечества?
Запрещающие Теоремы могли бы со временем остановить все машины.
Всё это уже предсказал профессор Громов. Человечество приступило к разработке "Запрещающих Теорем" :-(
> У скрипта без цифровой подписи не может быть атрибута "исполняемый"Скрипты могут запускаться и так
source script_name.sh
или
sh script_name.shТ.е. получается sh должен уметь выполнять проверку подписи.
> Скрипты могут запускаться и так
> source script_name.sh
> или
> sh script_name.sh
> Т.е. получается sh должен уметь выполнять проверку подписи.Ну, если уж на то пошлО, то ВСЕ скрипты (некоторые явно, некоторые неявно - если помните, во всех скриптах первая строчка "#!чего-то-там", вот этим "чего-то-там" система его и будет пытаться открыть, если явно не указано) запускаются ОС именно таким образом.
Т.е., для запуска подписанных скриптов необходимым и достаточным условием есть наличие проверки подписи во ВСЕХ shell’ах на такой системе (sh, bash, tsh, csh, ash, ...). Если найдется хоть один, который без проверки подписи позволит запустить скрипт - то это все равно, что этой функции в системе нет вообще.
Система может и сама проверить подпись у скрипта, прежде чем вызывать его интерпретатор.
Тогда уж вообще у всех файлов открываемых в системе на чтение.
echo ls > test.txt
sh < test.txt
> Тогда уж вообще у всех файлов открываемых в системе на чтение.
> echo ls > test.txt
> sh < test.txtили
cat test.txt | shне может же shell проверять подпись еще и у pipe.
>> Тогда уж вообще у всех файлов открываемых в системе на чтение.
>> echo ls > test.txt
>> sh < test.txt
> или
> cat test.txt | sh
> не может же shell проверять подпись еще и у pipe.или еще так
alias sh="cat test.txt | sh"
sh
> У скрипта без цифровой подписи
> не может быть атрибута "исполняемый"$ touch ./privet
$ echo "echo "PRIVET"" > privet
$ bash ./privet
PRIVET
$ cat ./privet
echo PRIVET
а зачем «тач»? эхо и так создаст.
> а зачем «тач»? эхо и так создаст.Признаю, дал маху.
Но темы Цифровые подписи и Подписано ключом Майкрософт заводят с пол-оборота.
При нарастающих тенденциях.
Потому, что в #80 не в бровь, а в глаз.
> Но темы Цифровые подписи и Подписано ключом Майкрософт заводят с пол-оборота.это да. пугает ещё количество людей, которые считают «ничего страшного», «какие молодцы, как здорово обманули m$»…
Вот интересно - оно кому-то реально нужно? Не в смысле security theatre - а чтобы реальная польза была? Мне как-то только вред видится - для тивоизации всё это - просто подарок.
>оно кому-то реально нужно?
>чтобы реальная польза была?Дурацкий вопрос. Им и нужно, зачем - предлагаю подумать самому.
>Мне как-то только вред видится - для тивоизации всё это
Это для тебя тивоизация вред, а для Копрорации Добра - неосвоенная прибыль.
Выгоды этих товарищей мне не интересны.
> Вот интересно - оно кому-то реально нужно? Не в смысле security theatre
> - а чтобы реальная польза была? Мне как-то только вред видится
> - для тивоизации всё это - просто подарок.Ты просто темный и за пределами своего локалхоста ничего не знаешь.
Тащемта, BART изобрели уже лет 10 как. Basic Audit and Reporting Tool. Также, в промышленных никсах уже лет 8, если не вру, используется подписывание ELFов.
> - а чтобы реальная польза была?Ну например такая система для вломившегося в нее хакера - достаточно неудобна. Руткит не впихнешь, наиболее вредные действия - заворачиваются. Попытку юзать нечто левое со стороны кого-то не авторизованного админом можно засечь.
Собственно вопрос лишь в том на чьей стороне играет система. Да, таки придется разобраться "кто и как дрессировал эту собаку". До того как взять ее себе.
>Ну например такая система для вломившегося в нее хакера - достаточно неудобна.Не знаю не вламывался. Но судя по тому, что всплывали трояны подписанные вполне валидными сертификатами сложность это доставляет не для всех, а ложное ощущение безопасности дает.
Гораздо хуже, что такие сертификаты ограничены по времени. И когда, собака такая (пользуясь терминологией чуть выше), сдыхает (чисто виртуально) драйвер какой-нибудь лет через пяток, а производитель, что логично, его больше не поддерживает - получается профит.
Так это ж вроде селинуксом прикрывается скорее? Причем в его случае вопрос "на чьей стороне играет система" не стоит.
> Ну например такая система для вломившегося в нее хакера — достаточно неудобна.а если вообще не давать рута, не позволять ставить своё ядро, не… wait… OH, SHI~~~
Мне на ноуте (точнее, когда куплю новый взамен стареющему)Украдут - без рефлэша ПЗУшки фигушки он заработает. Secure boot грузит строго подписанное ведро, ведро грузит строго разрешенную систему, строго разрешенная система работает только при наличии авторизации. Выдернуть винт и поменять ядро или систему нельзя, все верифицируется.
Таким образом, время установить ШИНДОШS и продать ноут не придет. Глядишь, все шансы за то, что утащенный ноут выкинут не сильно повредив, а потом его кто-нибудь найдет и вернет хозяину (благо мои контактные данные прописаны прямо на экране входа).
И то дело.
Правда придется сильно поискать еще ноут, чтобы secure boot там был адекватен, и позволял пользовательские ключи в TPM грузить, а потом не позволял их сбрасывать без ковыряний в железе. Увы.
Если подправить законодательство "этой страны" то использование подобной технологии наконец позволит обойти дурацкую формулировку: "сертифицированным считается система, установленная с носителя, изготовленного в сертифицированной лаборатории", а также упростит процесс обновления сертифицированных дистрибутивов.
> Если подправить законодательство "этой страны" то использование подобной технологииГораздо проще просто регать фирму в другой стране. Где никто не заставляет прошибать стенки своим лбом вместо того чтобы просто вести бизнес и делать свое дело. А оно вам надо - с дубовыми чиновниками бодаться?
Непатриотично? Зато быстро, надежно и практично.
>> Если подправить законодательство "этой страны" то использование подобной технологии
> Гораздо проще просто регать фирму в другой стране.Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически важных предприятий.
Потом еще жить здесь, а фирму держать там не всегда просто. Опять же налоги для иностранцев могут быть заметно больше, чем для граждан "другой страны". Так что если фирма одна, то и регать ее нужно там, где работаешь.
>>> Если подправить законодательство "этой страны" то использование подобной технологии
>> Гораздо проще просто регать фирму в другой стране.
> Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически
> важных предприятий.
> Потом еще жить здесь, а фирму держать там не всегда просто. Опять
> же налоги для иностранцев могут быть заметно больше, чем для граждан
> "другой страны". Так что если фирма одна, то и регать ее
> нужно там, где работаешь.Secure Boot - это Тивоизация в чистом виде.
GPL3 - такое запрещает.
Но ядро на GPL2.@"знатокам bios" - bios не поддерживате разделы HDD более 2Тб.
И не видит HDD более 3Тб.
> @"знатокам bios" - bios не поддерживате разделы HDD более 2Тб.биос вообще с разделами не работает. если что - он нулевой сектор берет, по адресу x7c00 кидает и передает на него управление
> И не видит HDD более 3Тб.
почитайте про LBA. вам будет полезно
http://article.gmane.org/gmane.linux.kernel/957194
>Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически важных предприятий.если ты не микрософт.
вот как интересно будут подписывать дрова для винды в связанных с гостайной проектах в мс (читать в пентагоне)?
> Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически важных предприятий.Так этому радоваться надо! Самые тупые, наглые, бюрократизированные волокитчики, выносящие мозг своим идиотизмом и полным непониманием что им надо - как раз вот такие вот шараги. Таких клиентов надо спихивать своим врагам.
Поэтому их отсутствие на горизонте - фича, а не баг. А в РФ туда еще и не подпустят и на пушечный выстрел, если у тебя знакомого министра обороны нет. Свои, знаешь ли, денег желают.
> Потом еще жить здесь, а фирму держать там не всегда просто.
Нормально. Обычно. Обыденно. Вон яндекс например. Казалось бы, российская фирма? А вот и фиг вам. Юридически - забугорная контора. Было бы не так - лакомый кусок давно бы уже отжали, в стиле обычного такого гоп-стопа. А вот так - номер не катит. Потому что пока мы бряцаем тем какое у нас правовое государство, в более цивилизованных странах не бряцают. Зато выполняют законы и не пытаются принимать всякий бред для выгораживания своих грязных задов.
> Опять же налоги для иностранцев могут быть заметно больше,
Это лучше чем если у тебя с нахрапом отожмут лакомый кусок. В таком виде ты вообще все потеряешь. Вон у рутрекера домен отжали без суда и следствия. У нас же правовое государство, все дела. Вконтакт выводы сделал и теперь они "совершенно случайно" продвигают vk.com, а вовсе не... :). Легко догадаться из каких соображений.
> регать ее нужно там, где работаешь.
Вам нужно - вы и регайте. Только чур не плакать когда у вас ее в "правовом государстве" отожмут без суда и следствия, а потом доказывай, дескать, что не верблюд.
> Такая фирма не сможет поставлять технику и ОС для гос-органов и стратегически
> важных предприятий.а зачем это надо? ну, кроме «откатов и распилов», конечно.
Чем "оно" отличается от SELinux, в плане: при входе в ядро через первую же дырку, "оно" вырубается в первую очередь же!
Ну это конечно же если пользователь имеет право подписывать и выполнять на компьютере всякую хрень скачанную из сети (а он это обязательно подпишет и зпустит ;). Ну а если нет то это уже другая тема.