Представлен релиз специализированного дистрибутива Tails 4.5 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ (1.1 ГБ), способный работать в Live-режиме...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52693
Ждём ретроградов-неосиляторов кричащих UEFI НЕНУЖНА!!!
Ну не нужна, успокойся уже. Не надо так кричать.
что именно нужно "ниосилить", чтобы иметь моральное право так кричать? 8)
Не нужна установка
Потому, что заточен на формат PE.
Единственный дистр где поддержка Secure Boot действительно оправдана.
А другим почему не надо верифицировать загрузку?
Все было бы идеально, вот только их ключи для secure boot в мамки не завезли...
Так что это глумление, если загрузчик "секюрной" ОС подписан чужими ключами.
Вообще то во всех нормальных серверных и десктопных системах есть custom enroll своих ключей, подписал загрузчик утилитой mokutil и воткнул свои ключи в db, а все другие убрал.Просто так и скажите "лень вникать и разбираться"
Что может быть плохого в валидации чексуммы загружаемых на ранних стадиях bin-блобах? Это только плюс. Хотя и не гарантия, что вы не цепанете в онлайне эксплойт который исполнит malware прошивку, для этого надо посложнее заморочиться (во первых есть модуль ядра от поляков который делает превентивную эвристическую защиту от всех известных в общем плане подходов к arbitrary code и обрубает их, ну или вот решение недавние от ms для Линукс или его альтернативы.
В хромось это реализовано из коробки
а арч походу никогда не сделаею секьюрити бут
Да что там арч! Clear блять Linux за N лет до сих пор не поддерживает Secure Boot из коробки... Это чтоб вы понимали это Linux от Intel созданный под флагом "secure by design" и не поддерживающий секьюре технологию придуманную в Intel... мир сошел с ума (с)
Пора бы уже осознать, что Clear Linux -- это пет проект по фану, единственная цель его существования -- унижать конкурирующие компиляторы в попугаеметрах. По-моему, он никогда и не позиционировался как дистрибутив для пользователей. Может там с alpine поконкурирует ещё.
Дело не в одном secureboot.Загрузка должна быть полностью верифицирована. Включая не только первый этап - загрузчик. А также ядро, init, ВСЕ программы, библиотеки, настройки.
Так же не допустима загрузка без онлайн проверки самого верификатора
А также ядра, init, ВСЕХ программ, библиотек, настройки.
> Так же не допустима загрузка без онлайн проверки самого верификатораЭто шутка? Несмешно. Хочешь чтобы тебя все майоры *рочили еще во время загрузки?
https://www.linux.org.ru/forum/admin/15194240?cid=15195110
Правильно. Через ШТТПС и Летсенкрипт
Вы что все обкурились?Какая проверка через интернет сертификатов используемых в Integrity?
Вас Бил Гейц с товарищем майором всех покусали?
> Так же не допустима загрузка без онлайн проверки самого верификатора
> Через https и ЛетсенкриптВ системе Integrity каждый админ должен для своей сети/компа лично выступать удостоверяющим центром! ЛИЧНО выпустить СВОЙ корневой сертификат CA для подписи других СВОИХ сертификатов используемых в Integrity.
Публичная часть этого корневого сертификата CA грузится в CONFIG_SYSTEM_TRUSTED_KEYS="путь"
и этим сертификатом удостоверяюца другие, созданные исключительно вами, сертификаты для проверки Integrity, публичная часть которого подгружается например в CONFIG_EVM_X509_PATH="путь". Поддержку других сертификатов в ядре можно отключить, как и возможность добавления новых. Все эти сертификаты ядерные и способны подписывать даже модули ядра.Приватной части сертификатов ядра Linux в рабочей системе физически быть не должно в любом виде!
Доверять чужомым сертификатам для системы Integrity нельзя. Даже если это фирма с непорочной репутацией как M$. Админа который в подсистему Integrity добавляет чужой, не созданный им самим, сертификат можно уволить как не соответствующего к требованиям занимаемой должности!!!
> Загрузка должна быть полностью верифицированаКому должна?
Пользователю системы.
Ядро верифицировать -- не проблема. Проблема в user space-е, но тут вот недавно новость проскочила и на эту тему тоже: https://www.opennet.me/opennews/art.shtml?num=52691
https://www.opennet.me/openforum/vsluhforumID3/120270.html#135Использую Integrity очень давно, в том числе при доступе. У меня проблем в юзерспейсе не было и нет!
Какие, конкретно ты, проблемы испытуешь при верификации всего начиная с init? Здесь даже внедрение systemd не должно стать помехой, хоть я его и не использую.
Проблем нет:
1. Создал пару секретный/публичный ключ.
2. Публичный подгрузил в ядро.
3. Секретным подписал хеши, атрибуты и далеко упрятал.
4. При загрузке в параметры ядру передал проверять. Все!!!Даже сам Потеринг в этой цепочке не способен что-то испортить. За дело взялся M$...