URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 88402
[ Назад ]

Исходное сообщение
"Для ядра Linux представлены патчи, отключающие поддержку спя..."

Отправлено opennews , 29-Янв-13 11:09 
Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал (https://lkml.org/lkml/2013/1/28/423) в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.


Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен (http://www.opennet.me/opennews/art.shtml?num=35852) прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Кроме патчей для запрета kexec и hibernation при загрузке в режиме  UEFI Secure Boot, Мэтью Гаррет опубликовал (https://lkml.org/lkml/2013/1/28/417) набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities - "CAP_COMPROMISE_KERNEL", предназначенный для выборочного предоставления  привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot но в других ситуациях, требующих ограничения доступа к ядру.


URL: http://paritynews.com/software/item/589-new-secure-boot-patc...
Новость: http://www.opennet.me/opennews/art.shtml?num=35949


Содержание

Сообщения в этом обсуждении
"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено тфьу , 29-Янв-13 11:09 
Сами себе придумали проблемы и героически с ними справились.

Резюмируя - UEFI ни за чем не сдался!


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 11:12 
Сам UEFI вполне вменяемая задумка. Но вот некоторые реализации это полный треш.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено EuPhobos , 29-Янв-13 11:57 
Вменяемая это задумка может быть только для маркетологов. UEFI - это полный бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут. А в данный момент лидером по UEFI себя считает дырявый Виндозе.
Поэтому UEFI в данный момент полный бред, созданный для очередной стрижки бабла, мешающий нормальный работе, нормального компа.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено анонимм , 29-Янв-13 12:15 
отстань от уефи, он хоть и раздутое добрецо, но злом и ональным зондом дозволения является секуребут.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 12:50 
> бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут.

Как бы это сказать? Загрузку модуля руткита от хакера такая технология таки зарубит на корню. Что может быть полезно для серверов. Другое дело что сам секурбут сделан черти-как и предлагается с ножом к горлу доверять каким-то майкрософтам и кому там еще.

Просто любую технологию можно использовать не только во благо но и во вред окружающим. Вот благодаря реализации, secure boot получился скорее во вред. За отсутствием стандартного механизма для админов оставить только свои ключи и вытряхнуть все лишние, например. Ну и за проприетарностью неведомой фирмвары которой почему-то предлагается доверять.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 13:40 
Уважаемый коллега, Вы совершенно правы в части реализации - это вообще характерная черта Microsoft. Однако, представляется, здесь немного не та ситуация. А именно - порочна сама идея, что, впрочем, укзанной компании также свойственно. Обратите внимание на текст в заметке, где говорится о возможности подмены ядра при исполнении. А теперь замените просто ядро на ядро Windows. Т.о. совершенно вырисовывается тренд вирусописательства для Windows 8 на ближайшие годы (или месяцы, в зависимости от скорости распространения технологии secure boot UEFI).

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 16:26 
>> бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут.
> Как бы это сказать? Загрузку модуля руткита от хакера такая технология таки
> зарубит на корню. Что может быть полезно для серверов.

Вот-вот! Как бы ЭТО сказать! Вот объясните мне, тугодуму, как секурбут защитит от подписанного Микрософтом руткита, ну, скажем, запущенного как гипервизор? Если я правильно понимаю, подписать свой загрузчик у Микрософта за некоторое количество мертвых американских президентов можно. Или о чем речь? Если о запрете исполнения неподписанных модулей ядра, то при чем здесь секурбут с УЕФИ вообще?



"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 16:58 
> Вот-вот! Как бы ЭТО сказать! Вот объясните мне, тугодуму, как секурбут защитит
> от подписанного Микрософтом руткита,

Воооот. А памятуя как они влепили вадидную подпись на ПО для индустриального шпионажа - не сомневаюсь что они и руткит подпишут в 2 счета.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено hakushka , 29-Янв-13 16:28 
Мнение товарища который не видит разницы между UEFI и UEFI Secure Boot никого не интересует.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено kai3341 , 29-Янв-13 17:04 
Вы вобще в состоянии отличить UEFI от UEFI Secure Boot?

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Michael Shigorin , 29-Янв-13 23:46 
> Сам UEFI вполне вменяемая задумка.

Всё-таки не вполне: как и EFI или ACPI, это результат чудовищного оверинжиниринга, содержащий в себе гигатонны окаменелых концепций и совместимости с наиглупейшими ошибками (fs0:, blk1:, бэкслеши радуют глаз со страшной силой).

SecureBoot же напоминает то, как поверх скромного досового вирусного зоопарка вылили котёл питательной среды: сперва придавило, зато потом как рвануло...

Заодно: http://mjg59.dreamwidth.org/12897.html
и на всякий: http://mjg59.dreamwidth.org/13061.html
а также: http://lwn.net/Articles/500231/


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Lain_13 , 29-Янв-13 11:23 
Да вы уже забодали путать весь UEFI с функцией Secure Boot! Сколько можно?

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено kai3341 , 29-Янв-13 17:07 
+1. Остальные, осиляйте:
UEFI: http://ru.wikipedia.org/wiki/UEFI
Об UEFI SB вы уже знаете :)

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 11:52 
> Сами себе придумали проблемы и героически с ними справились.
> Резюмируя - UEFI ни за чем не сдался!

истеричка, НОВОСТЬ НЕ ПРО UEFI..


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Anonplus , 29-Янв-13 13:28 
Слоупок?
https://ru.wikipedia.org/wiki/Extensible_Firmware_Interface

EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Michael Shigorin , 29-Янв-13 23:47 
> EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?

#78 выше почитайте, быстрый Вы наш гонзалес.  GPT и UEFI как раз и есть досообразные калеки, которые вносят примерно столько же проблем, сколько и решают.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 30-Янв-13 16:15 
>> EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?
> #78 выше почитайте, быстрый Вы наш гонзалес.  GPT и UEFI как
> раз и есть досообразные калеки, которые вносят примерно столько же проблем,
> сколько и решают.

GPT-то за что? Он отлично работает даже с BIOS-ами (не знаю, правда, может это и GRUB-овская прослойка, но у меня всё работает, и при этом далеко не новейшее железо и уж точно не UEFI) и убирает архаичные ограничения MBR - не надо усложнять всё расширенными разделами и вообще беспокоиться об их количестве, а также, актуадьно с новыми дисками - о максимальном объёме.

Ну а UEFI - странная затея в наш XXI век, притом что инициализацию железа можно было вообще операционной системе отдать.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 11:11 
Ну и накой этот секуребут нужен, если он мешает нормально пользоваться собственным компом? Стационару то может и все равно, а вот ноут без sleep и hibernate как то несколько страннен.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 11:53 
> Ну и накой этот секуребут нужен, если он мешает нормально пользоваться собственным
> компом? Стационару то может и все равно, а вот ноут без
> sleep и hibernate как то несколько страннен.

надеюсь что проблем в sleep не будет


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 13:39 
После апдейта пользователей Федоры с севшей батареей ожидает сюрприз "для их же собственной безопасности"

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено близняшко , 29-Янв-13 15:12 
>> "для их же собственной безопасности"

во-во, даст из тупикал мракетология.
секуребут это не для собственной безопасности пользователей, а наоборот, производитель операционных систем не доверят пользователю, который (вдруг) попытается запустить их восьмерочку на нелегальном компьютере.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 16:18 
> После апдейта пользователей Федоры с севшей батареей ожидает сюрприз

то есть сначало у них компьютеры вообще не загружались, так как не было качественной поддержки Secure Boot в старой Fedora...,

...а потом [после обновления Fedora] БАЦ(!) и не работает Hibernate! :-D

вот облом!

</sarcasm>


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Assembler , 29-Янв-13 11:20 
я вот сильно сомневаюсь что в ближайшие 10-15 лет много народу будет пользоваться операционками с UEFI Secure Boot

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 11:41 
UEFI Secure Boot встроен в BIOS всех ныне выпускаемых материнских плат, ОС тут вообще не причём.

Таким образом, если твоя операционная система не поддерживает UEFI то ты просто не сможешь заставить её работать на твоём компьютере с UEFI материнской платой (за исключением тех случаев когда производитель материнской платы добавил в BIOS возможность отключить UEFI - но это делают далеко не все производители).


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Харитон , 29-Янв-13 13:18 
Бывают толковые релизы.
Например ноут ACER TM B113-E поставляется с БИОС, но если тебе надо УЕФИ для В8, то качай прошивку УЕФИ с сайта производителя, котоаря прошьется вместо БИОСа...
Благодаря такому подходу я выбрал эту модель а не тупо УЕФИ, хотя ранее склонялся к Леново. Но танцы с УЕФИ меня остановили...

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Mr. Cake , 29-Янв-13 13:29 
Во всех Thinkpad-ах есть переключалка режима загрузки: через UEFI или Legacy (то биж BIOS).

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 13:32 
Не надо склоняться к Lenovo. У Ленововских ноутов есть серьезные проблемы с совместимостью UEFI с Linux. Линуксячье ядро не видит загрузочных записей EFI и пытаясь вписать свой загрузчик перезаписывает те записи, которые отвечают за вызов настроек БИОСа. Windows 8 делает тоже самое. Перепрошить БИОС нельзя, т.к. Леново не дает образ БИОСа. Проблема официально не признается, по гарантии меняют либо материнку либо ноут целиком.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено ноним , 29-Янв-13 16:14 
Что вы курите?

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 17:01 
Да если бы...
Взгляните на досуге на forum.lenovo.com, либо в гугле вбейте "lenovo g580 uefi" будете несколько удивлены результатом.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено ноним , 30-Янв-13 11:16 
> Да если бы...
> Взгляните на досуге на forum.lenovo.com, либо в гугле вбейте "lenovo g580 uefi"
> будете несколько удивлены результатом.

Все прекрасно разруливает efibootmgr.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 30-Янв-13 11:47 
Сам то пробовал? Или теоретик? :)
Объясняю механизм. Ядро не может перечислить загрузочные записи и отобразить их через sysfs. efibootmgr видя что записей нет, создает свою под номером 0. А так как создание записей идет нормально, то тем самым переписывает уже имеющиеся в биосе. А под номерами 0 и 1 там были записи обеспечивающие доступ к настройкам и вызова меню с чего грузиться.
Причем Win7 прекрасно работает, а вот Win8 уже нет.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Гуго , 29-Янв-13 16:19 
Подтверждаю, как бывший пользователь Lenovo. Читал на форумах, проблемы также бывают и с Виндой, у тех, кто пытался использовать полное шифрование диска TrueCrypt-ом.

Так что, Lenovo - уже не торт.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Crazy Alex , 29-Янв-13 18:34 
А что осталось из рабочих машин? Синкпады были чуть ли не последней отдушиной, со своими строгими корпусами, тачпоинтом, приличной клавиатурой и общим дубовым и предельно продуманным исполнением. Но клавиатуру поменяли, внутри тоже,получается, нагадили...

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 21:33 
> А что осталось из рабочих машин? Синкпады были чуть ли не последней
> отдушиной, со своими строгими корпусами, тачпоинтом, приличной клавиатурой и общим дубовым
> и предельно продуманным исполнением. Но клавиатуру поменяли, внутри тоже,получается,
> нагадили...

Samsung?


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Crazy Alex , 30-Янв-13 04:53 
А у них разве были дубовые и продуманные рабочие модели наподобие синкпадов?

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Avator , 30-Янв-13 11:29 
А какие альтернативы?
Ноуты с докстанциями кроме Lenovo делают только HP и Toshiba, но крайне эпизодически.
Может быть кто-то из производителей как Lenovo предоставляет подробную инструкцию по разбору на 200-300 страниц с парт номера всех деталей?
Я согласен, что испортились, но никто все равно больше качественных ноутов для инженеров не делает =/

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Crazy Alex , 30-Янв-13 15:07 
Ну, в принципе я ещё видел Fujitsu T900 - осталось впечатление, что он из того же ряда - прочный, продуманный, удобный, комплектующие вроде аккумуляторов стандартизированы с прошлыми моделями и держатся много лет, в слот для DVD пихается дополнительный аккумулятор... Но конкретно он - трансформер с пальцевым тач-вводом + вакомовским стилусом, в результате стоимость получается под $2000 за 13 дюймов, при чём под линуксом ваком ещё и не взлетает вроде. Остальные их модели в руках не держал, но может что-то и есть.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 21:33 
При установке Linux выбирайте конфигурацию с LVM.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 30-Янв-13 16:55 
> При установке Linux выбирайте конфигурацию с LVM.

не пробовал, но слышал, что не советуют для десктопов - как оно?


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Michael Shigorin , 30-Янв-13 01:02 
> UEFI Secure Boot встроен в BIOS всех ныне выпускаемых материнских плат, ОС
> тут вообще не причём.

Врёте.

> когда производитель материнской платы добавил в BIOS возможность отключить UEFI
> - но это делают далеко не все производители).

Врёте.

PS: я в альт добавил поддержку UEFI, если что.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 11:21 
как тогда, интересно, вопрос с гибернацией в венде решен? Или они только других напрягают?

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено dalco , 29-Янв-13 11:48 
Например, сливаем в hyberfil.sys (или как он там?) все то же, что и всегда, но в конце дописываем электронную подпись содержимого файла. А при разгибернации это самое содержимое на корректность подписи проверяем. Совпала подпись - все путем, не совпала - ребут и загрузка компа с нуля.

В принципе, ничего экстраординарного и относительно легко реализуется в любой ОС, которой приспичило полностью поддерживать secure boot.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 11:56 
> ... но в конце дописываем электронную подпись содержимого файла. А при разгибернации это самое содержимое на корректность подписи проверяем. ...

1. откуда Операционная Система (Windows или не важно) возьмёт приватный ключ для создания цифровой подписи?

2. как так получится что у вируса не будет этого приватного ключа?


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено dalco , 29-Янв-13 12:02 
> 1. откуда Операционная Система (Windows или не важно) возьмёт приватный ключ для
> создания цифровой подписи?
> 2. как так получится что у вируса не будет этого приватного ключа?

My bad, my bad... Да, о ключе я как-то забыл :(

Возможно, как-то можно использовать TPM-модуль на мамке. Его же когда-то под что-то подобное и затачивали. Но тут я ноль полный - что может и что не может сей модуль и есть ли он на каждой мамке с secure boot - я не знаю.



"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено анноним , 29-Янв-13 13:59 
В bitlocker, вроде, уже сделано.

Вообще, я немного удивлен, что TPM еще не полностью перетащили в современные процы. Я думал, что оно уже давно там. %\


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Avator , 30-Янв-13 11:08 
Компьютеры с TPM запрещены к продаже в России и Китае. Возможно еще где-то, я точно не знаю.
По этому использовать TPM для Secure Boot не вариант.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Crazy Alex , 30-Янв-13 15:09 
Хм, то есть технология таки приличная?

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 30-Янв-13 19:38 
> По этому использовать TPM для Secure Boot не вариант.

Ого, значит, я видел запрещенный компьютер. Это что-то типа запрещенных книг, да?
Ну да, скоро у нас будет 451 по фаренгейту - http://izvestia.ru/news/543946



"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 30-Янв-13 19:35 
> В bitlocker, вроде, уже сделано.

Он модуль TPM требует по нормальному. Или как минимум отчуждаемый носитель, что достаточно неудобно, т.к. втыкать-вытыкать флешку с ключом - утомительно. Иначе у него будет та же проблема.

> Вообще, я немного удивлен, что TPM еще не полностью перетащили в современные
> процы. Я думал, что оно уже давно там. %\

Это требует энергонезависимой памяти для хранения ключей. А она не любит соседство с греющимся как печка ядром проца. Попросту говоря, флеш-память (ну и все EEPROM-based, как близкие родственники) от нагрева элементарно стирается. Ну вот так вот.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено анноним , 31-Янв-13 15:02 
Всем ответившим - спасибо за содержательные ответы о TPM.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено анноним , 31-Янв-13 21:21 
Простое "спасибо" уже режет слух?

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено rain87 , 29-Янв-13 11:50 
чёто я не представляю, как можно решить вопрос с гибернацией. ключа чтоб подписать нет, а как иначе гарантировать целостность?

чувак из рх как то очень рьяно подошёл к вопросу безопасности, сам себя теперь загоняет в тупик. все остальные спокойно забили на полную цепочку верификации и теперь не парят мозг


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 11:59 
> чёто я не представляю, как можно решить вопрос с гибернацией. ключа чтоб
> подписать нет, а как иначе гарантировать целостность?
> чувак из рх как то очень рьяно подошёл к вопросу безопасности, сам
> себя теперь загоняет в тупик. все остальные спокойно забили на полную
> цепочку верификации и теперь не парят мозг

на мой скромный взгляд -- всё правильно ты говоришь за исключением "загоняет в тупик". :)

думаю мотивация тут крайне логичная!!:

никто не мешает пользователю зайти в SETUP и отключить там SecureBoot ...

..но в случае если же SecureBoot ВКЛючен -- то давайте не будем обманывать пользователя.

пользователь хочет "безопасную загрузку"(?), ну значит либо он её получит, либо пусть перестанет её хотеть!


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Crazy Alex , 29-Янв-13 18:41 
Просто уже стало очевидным, что чисто и аккуратно реальная безопасная загрузка не получается. Больше тогоо - это было более-менее понятно с самого начала, тотальная безопасность всегда создавала такую массу проблем,что по возможности с ней никто не связывается, за исключением особо озабоченный DRM-щиков (регулярно и добавляющих пользователю сложности). Действительно не совсем понятно, чего добиваются редхатовцы с этим. В конце концов, десктопами они не занимаются как бизнесом, а сервер, даже если ему актуален сон (уж не знаю,зачем), достаточно защитить от физического доступа, чтобы никто образ не подменил.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 11:24 
Они там того? Следующий шаг это - запрет использования своего ядра?

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено qqq , 29-Янв-13 11:27 
> Они там того? Следующий шаг это - запрет использования своего ядра?

Так уже вроде. Если загрузчик может грузить только подписанное ядро.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 12:01 
> ... загрузчик может грузить только подписанное ядро.

включая также и загрузку свого ядра. :)

разница в том что теперь его надо подписать (а раньше не надо было).



"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 16:35 
>> ... загрузчик может грузить только подписанное ядро.
> включая также и загрузку свого ядра. :)
> разница в том что теперь его надо подписать (а раньше не надо
> было).

Ну, это только в том случае, если китайцы не поленятся сделать возможность добавить свои ключи в Secureboot на конкретной Вашей железяке. Иначе - только подписанные теми, что в нем есть :(


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 16:52 
>>> ... загрузчик может грузить только подписанное ядро.
>> включая также и загрузку свого ядра. :)
>> разница в том что теперь его надо подписать (а раньше не надо
>> было).
> Ну, это только в том случае, если китайцы не поленятся сделать возможность
> добавить свои ключи в Secureboot на конкретной Вашей железяке. Иначе -
> только подписанные теми, что в нем есть :(

разве?

мне кажется Shim сможет загрузить пользовательское ядро (подписанное пользователем, используя пользовательский ключ), даже в случае если катайцы поленятся...

[я может ошибаюсь? Да/Нет?]


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено source , 29-Янв-13 18:30 
> Они там того? Следующий шаг это - запрет использования своего ядра?

А зачем вам своё ядро? Зачем вам вообще линукс? Все пользуются виндовс. Почему Вы — нет? Может Вы террорист? Или педофил.

*sigh*


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 12:01 
..одни дуроломы придумали бред..
другие его продолжают делать..
если так и дальше пойдет.. то все печально.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Assembler , 29-Янв-13 12:20 
сегодня еще новость вышла, что через 2 года начинается замена паспартов на пластиковые карточки, кругом одни ограничения, мир катится в тоталитарное общество

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 12:34 
IMHO: Предчувствую, что будет как с Java, через год выяснится что всё это Secure Boot до фени и обход ограничений взломщиками возможен без серьёзных затрат … у M$ просто не может быть иначе.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 12:41 
Ребята, кто в теме расскажите плиз как обстоят сейчас дела в реальности по продажам новых устройств (сервера, ноутбуки) с этой паразитной технологией?

Кто уже реально сталкивался с этим?

Насколько адекватна возможность реального отключения этого?

Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?

Собираюсь приобрести новый ноут и эти новости совсем не радуют так и до покупки маков можно дойти :) Идиотизм - спрос на маки и андроиды явно подрастет.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 12:55 
> Идиотизм - спрос на маки и андроиды явно подрастет

прям подскочит огромным скачком, величиной аж до 2~5% :-D


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Харитон , 29-Янв-13 13:29 

> Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?

Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб не нарваться на секюребут


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 13:53 
>> Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?
> Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб
> не нарваться на секюребут

Спасибо за отзыв - тоже присматривался к этому бренду. В моем списке кандидатов он имеется.

ASUS, ACER, TOSHIBA, Lenovo

"Знаки вопроса"
Dell (может быть), Fujitsu, HP, Samsung, Nec, Panasonic, MSI


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 16:40 
> "Знаки вопроса"
> Dell (может быть), Fujitsu, HP, Samsung, Nec, Panasonic, MSI

сегодня пришлось выйти из дома (обычно я очень редко выхожу) и я защёл в магазин -- там продавались ноутбуки.

среди них были ноутбуки Dell, на которых были установлены Убунты. (процессоры: Intel i3 второго поколения, и ещё какието менее скоростные тоже от Intel. i7 и i5 не видел)

очень удивился!

кроме Dell -- других ноутбуков с предустановленным Linux не видел.
[предустановленный Linux-то не нужен, сам по себе, а вот относительно отсутвия SecureBoot думаю это не плохой индикатор!]


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Crazy Alex , 29-Янв-13 18:42 
Если там предустановлена нормальная убунта - то по-моему это очень даже в плюс.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 19:57 
Молодцы Делловцы - что можно сказать.
Интересно, как у них на серверах дела обстоят?

В целом, по поводу Dell у меня сформировалось насчет ноутов следующее:
покупал когда-то инспирон 1896 с вистой. На висте было дофига всяких зондов, потом вообще перестала принимать обновления. Потом батарея перестала работать. Поставил убунту - все было ок. Но как надежная железяка не очень: со временем отвалились клавиши, кнопки тачпада перестали нормально нажиматься, не очень стойко перенес перегрев, на винде винт глючил. В убунте все работало. Создалось ощущение, что делловцы как-то "кодируют" свои железки на срок службы ))


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Michael Shigorin , 30-Янв-13 00:56 
>> Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб
>> не нарваться на секюребут

Пишу с ноута asus, где он есть, но отключаемый -- как и на любой x86-железке "win8 ready" или как их там.

> Спасибо за отзыв - тоже присматривался к этому бренду.

Он странный -- удачные модели бывают, но это "знать надо", обычно хлам по части корпуса, батарейки и общего качества сборки.

> В моем списке кандидатов он имеется.

В моём -- нет...

> ASUS, ACER, TOSHIBA, Lenovo

Тошибы давненько не щупал, из "японцев" более интересны фуджики (крайне живучие).  Lenovo можно плавно забывать -- эти твари уже убили и IBM-овскую клаву, а сборка скатилась ещё в T43.

> "Знаки вопроса"

Про ноуты HP слышал от продавцов и знакомых, что БП в последнее время странно часто летят.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 30-Янв-13 16:53 
>[оверквотинг удален]
> по части корпуса, батарейки и общего качества сборки.
>> В моем списке кандидатов он имеется.
> В моём -- нет...
>> ASUS, ACER, TOSHIBA, Lenovo
> Тошибы давненько не щупал, из "японцев" более интересны фуджики (крайне живучие).  
> Lenovo можно плавно забывать -- эти твари уже убили и IBM-овскую
> клаву, а сборка скатилась ещё в T43.
>> "Знаки вопроса"
> Про ноуты HP слышал от продавцов и знакомых, что БП в последнее
> время странно часто летят.

спасибо за отзыв.

к сожалению доля выпуска фуджиков сокращается - были хорошие модельки фуджитсу-сименс например.

Удивляет, что согласно списку фонду-развития линукса среди платиновых партнеров нет ни одной известной модельки из современных (http://www.linuxfoundation.org/about/members)

Интересно, если они платиновые партнеры, то какова их позиция по UEFI


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Anonplus , 29-Янв-13 13:29 
Ноутбуки и сервера на андроиде? Я тоже хочу такой травы.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 13:39 
почему бы нет? :)

если сервера станут со спичечный коробок, то это было бы одним из главных технологических прорывов на обозримом горизонте ))


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 30-Янв-13 16:39 
> почему бы нет? :)
> если сервера станут со спичечный коробок, то это было бы одним из
> главных технологических прорывов на обозримом горизонте ))

Оно конечно неплохо будет если так призадуматься, но:

вы представляете себе сколько тогда предприятий и фирмочек останутся без работы если такое произойдет? Таможням добавится работы - придется обыскивать карманы на предмет ввоза серверов. А дата-центрам что делать? А как хулиганов тогда ловить? И что с вебом будет? Тотальный p2p?


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 13:40 
> Ноутбуки и сервера на андроиде? Я тоже хочу такой травы.

угощайся ))


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Michael Shigorin , 30-Янв-13 00:59 
> Собираюсь приобрести новый ноут и эти новости совсем не радуют так и
> до покупки маков можно дойти :)

На мак линукс воткнуть всё-таки сложнее, там железо официально "не ПК-совместимое" и в т.ч. благодаря как раз фирмвари.  Сам обдумывал, грустно глядя на куцый выбор железок с приличной матрицей -- в итоге остановился на UX31A с мелкими, но терпимыми проблемами вроде отсутствия выделенных pgup/pgdn & co.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 30-Янв-13 16:32 
тоже присматриваюсь к asus - не лучший вариант конечно, но более менее из рискованных вариантов.

Вас тоже клавиши раздражают? - сейчас еще пошла мода цифровой блок клавиш впаривать за счет уменьшения enter или подобных махинаций до крохотных размеров... Извиняюсь за оффтопик, но пошел явно какой-то идиотизм и техно-хамство - тачпад смещенный влево (очень непривычно и неудобно) - дешевые клавиши, видео нвидия или интел - радеон становится редкостью и т.д. и тут еще этот "псевдо-секурный" загрузчик...

Установка линукса на маки становится довольно не редким явлением в наше время. Но откровенно говоря как достали эти дуал-буты и пляски. Тут еще винда со своим жмотством - нафига создавать такие трудности, когда можно было-б разрешить держать винду на виртуалке... дык нет - фиг поставишь образ - диск не поставляется - ура пляскам с акронисом и им подобными... Интересно, Торвальдс каким ноутом пользуется сейчас...


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено UEFI сдохни , 29-Янв-13 13:34 
Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы решить на уровне ядра проблемы, которые он не смог решить за 20 лет на уровне ОС. Это я про безопасность своего днища.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Василиса , 29-Янв-13 13:36 
Все верно же, от вирусов избавиться не смогли, теперь костыли в ядро пихают.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Anonplus , 29-Янв-13 13:43 
> Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
> решить на уровне ядра проблемы, которые он не смог решить за
> 20 лет на уровне ОС. Это я про безопасность своего днища.

Да нихрена ты не понял, не надо врать. Торвальдс эту фигню придумал, Торвальдс.

А если серьезно, почитай статью в википедии хотя бы, тогда хоть знать будешь, кто придумал EFI
https://ru.wikipedia.org/wiki/Extensible_Firmware_Interface


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Crazy Alex , 29-Янв-13 18:43 
Буковку "U" видите? Это разные стандарты.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено DeadLoco , 29-Янв-13 14:14 
> "Хотите на свой пэка наклеечку Win8 ready - сделайте эту фичу неотключаемой"

Полагаю, наклеечка "Win8-free" будет пользоваться бешеной популярностью...


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено IMHO , 29-Янв-13 14:28 
>  Эти люди и придумали SecureBoot.

Их укусил Поттеринг ?
Кто эти люди, к Столлману их в ссылку


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено К.О. , 29-Янв-13 14:30 
>Это один из механизмов защиты от руткитов и прочей дряни.

Не руткитов, а буткитов. :)


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 16:42 
> Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
> решить на уровне ядра проблемы, которые он не смог решить за
> 20 лет на уровне ОС. Это я про безопасность своего днища.

Опять Вы наслушались сказок о том, что Микрософт что-то создал. Скоро "новое поколение" будет "так понимать", что все в этом мире создал великий Микрософт :( Почитайте, хотя бы http://ru.wikipedia.org/wiki/Extensible_Firmware_Interface



"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Аноним , 29-Янв-13 18:33 
> Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
> решить на уровне ядра проблемы, которые он не смог решить за
> 20 лет на уровне ОС. Это я про безопасность своего днища.

У них не так проблемы решают. У них проблемы решают сертифицированные пропагандёры, которые вам расскажут, что проблемы, на самом деле, нет. Это всё сказки-страшилки для ламеров.


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено none7 , 29-Янв-13 16:38 
А ждущий режим оставили? Зря, ведь предварительно охладив память можно выдрать её  из материнской платы не потеряв данных, прочесть/переписать нужные куски, а затем запихнуть обратно. Единственный выход гарантировать безопасность это цифровая подпись, сгенерированная материнской платой ну или хранить весь компьютер в сейфе, остальное просто глупость.

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Xasd , 29-Янв-13 16:43 
> предварительно охладив память можно выдрать её из материнской платы не потеряв данных

в жидком азоте? :)

...а ядро эффекта массы -- нужно ли применять?

хочу попробовать! это же отличная идея!


"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено none7 , 29-Янв-13 17:08 
Давно я читал эту новость, сейчас смог нарыть только это https://citp.princeton.edu/research/memory/

"Для ядра Linux представлены патчи, отключающие поддержку спя..."
Отправлено Crazy Alex , 30-Янв-13 05:03 
Там даже азота не надо, баллончика со сжатым воздухом достаточно.