The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Debian тестирует поддержку UEFI Secure Boot"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от opennews (?), 08-Янв-19, 08:51 
Разработчики Debian предложили (https://henrich-on-debian.blogspot.com/2019/01/call-for-test...) протестировать реализацию поддержки технологии верифицированной загрузки (UEFI Secure Boot (https://wiki.debian.org/SecureBoot)), развиваемую для выпуска Debian 10. Поддержку Secure Boot предлагается (https://wiki.debian.org/SecureBoot/Testing) оценить пользователям Debian unstable (Sid), воспользовавшись временным проверочным сертификатом, которым подписан образ ядра (данный сертификат требуется импортировать в качестве MOK (Machine Owner Key)).


Напомним, что изначально поддержка Secure Boot ожидалась в Debian 9, но её не успели стабилизировать до релиза и отложили (https://www.opennet.me/opennews/art.shtml?num=46467) до следующего значительного выпуска дистрибутива. Для обеспечения работы Secure Boot в релизе Debian 10 будет задействован загрузчик Shim (https://www.opennet.me/opennews/art.shtml?num=36077), заверенный (https://packages.debian.org/sid/utils/shim-signed) цифровой подписью от компании Microsoft, в сочетании с заверением ядра и загрузчика grub собственным сертификатом проекта (shim выступает как прослойка для использования дистрибутивом собственных ключей).  Подобное решение также применяется в RHEL, SUSE, Fedora, Ubuntu и многих других дистрибутивах Linux.

URL: https://henrich-on-debian.blogspot.com/2019/01/call-for-test...
Новость: https://www.opennet.me/opennews/art.shtml?num=49916

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Debian тестирует поддержку UEFI Secure Boot"  +8 +/
Сообщение от Анонис (?), 08-Янв-19, 08:51 
А в чем польза secure boot? И есть ли она вообще?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Debian тестирует поддержку UEFI Secure Boot"  +18 +/
Сообщение от Аноним (2), 08-Янв-19, 08:53 
> заверенный цифровой подписью от компании Microsoft

Для Microsoft - конечно есть польза.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

39. "Debian тестирует поддержку UEFI Secure Boot"  +15 +/
Сообщение от Аноним (-), 08-Янв-19, 14:34 
Сначала CoC, теперь это... А что дальше? Я видится здесь M$ EEE.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

50. "Debian тестирует поддержку UEFI Secure Boot"  –4 +/
Сообщение от Имя (?), 08-Янв-19, 15:30 
Скатится как Мозилла. Не моментально, но результат немного предсказуем.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

9. "Debian тестирует поддержку UEFI Secure Boot"  +2 +/
Сообщение от Аноним (9), 08-Янв-19, 09:58 
Какой именно секюрбут? В понятиях redhat это две разные техники одна из которых подпись ключами microsoft.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от ryoken (ok), 08-Янв-19, 10:12 
Не, нету. Для обычного юзера, кроме разве что знаний, что у него основные части ОСи кем-то там подписаны. И опять же - в терминах намеренная ошибка, т.к. это Signed Boot.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "Debian тестирует поддержку UEFI Secure Boot"  –1 +/
Сообщение от Аноним (28), 08-Янв-19, 11:57 
Ошибка - с точки зрения пользователя. С точки зрения MS, всё честно: компания рулит выдачей сертификатов как тот Сесурити, которого надо понять и простить.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Debian тестирует поддержку UEFI Secure Boot"  +6 +/
Сообщение от пох (?), 08-Янв-19, 10:24 
учитывая что ключ пошел по рукам - и любой хакзор васья тем же самым shim может загрузить любой свой мусор  - никакой, за исключением, разумеется, новых макбуков.

Но линукс там, по очевидным причинам, не загружается.

определенная польза может быть разьве что в случае, когда уефя снабжена полноценным менеджером ключей (позволяющим не только свои добавить, но и чужие поудалять, _все_) - тогда можно подписать свой собственный загрузчик _своим_ ключом, которого ни у какого васяна нет.

но для joe average это слишком сложная процедура, поэтому и биосы такие редкость, и инструменты для подобной операции отсутствуют, придется очень много читать ненужной документации в корявых копипастах (ибо оригинал недоступен) и работать руками.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

92. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от хотел спросить (?), 12-Янв-19, 12:31 
А в каких BIOS это есть? Может в каких то конкретных матерях?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от proninyaroslavemail (ok), 08-Янв-19, 11:07 
Идти по пути Apple и запретить неподписанные ОС (сама Apple с чипом T2 подписывает теперь только винду). У майкрософт недавно появился свой дистр (WLinux), за который они требуют выложить 20$. Пока это только для WSL, а не для установки на железо, но в теории если обнулить текущие подписи и перестать выдавать новые, то по сути они установят монополию на свой платный дистр: "хочешь линукс - покупай".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (25), 08-Янв-19, 11:26 
Всё правильно сделали. Только рабы могут покупать зативоизированные железки.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (38), 08-Янв-19, 14:16 
WLinux не имеет отношения к MS.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

57. "Debian тестирует поддержку UEFI Secure Boot"  –1 +/
Сообщение от proninyaroslavemail (ok), 08-Янв-19, 17:54 
> WLinux не имеет отношения к MS.

Не думаю что майкрософт составит проблема купить стартап

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

62. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от soarin (ok), 08-Янв-19, 19:37 
:D А смысл? Не проще новый создать?
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

63. "Debian тестирует поддержку UEFI Secure Boot"  +3 +/
Сообщение от soarin (ok), 08-Янв-19, 19:50 
И да. По поводу WLinux
Он не имеет никакого отношение к компании <CENSORED>
Распространяется кстати под лицензией MIT. https://github.com/WhitewaterFoundry/WLinux
Вот можешь брать и собрать сам. Ну а за готовенькое из магазина денег просят, и даже есть версия с поддержкой.
Как будто такого подхода в линуксах никогда не было, а?
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

26. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (26), 08-Янв-19, 11:30 
Удаляешь все ключи из уфефи, устанавливаешь свои и получаешь типа секюрность.
Для хомяков никаких плюсов. Ну может, если дефолт ос не трогать, то побезопаснее будет.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от пох (?), 08-Янв-19, 12:08 
вообще-то нифига несложно завести эту технологию в скрипт установки дистрибутива, на радость хомячкам.
В теории.
На практике ожественная бубунточка разок при апгрейде умудрилась поломать собственный загрузчик ни разу не signed, просто запуталась в файликах в EFI. Видимо все еще немного не совсем готова даже для работы с настоящим, а не виртуальным, на котором тестируют, uefi boot еще даже без подписей. Восстановить оказалось неожиданно не самым тривиальным квестом.
Не говоря уже о том, что редкий юзверь сообразит сразу сбэкапить ключ на внешний сторадж и не проиметь его через два дня.

В результате, число окирпиченных материнок, внезапно, может приблизиться к числу окирпиченных борцунами за свабодку и безопатсность лопатофонов.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Crazy Alex (ok), 08-Янв-19, 12:20 
убунточка спокойно стоит и работает на куче машин, тем не менее. Но тебе ж совершенство зачем-то нужно.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

53. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от пох (?), 08-Янв-19, 16:33 
и вся эта куча - одноразовые fire and forget виртуалочки в aws, да?

> Но тебе ж совершенство зачем-то нужно.

не, я банально невнимательно дернул apt upgrade на неудачном экземпляре, который мало того что на реальном и uefi-only железе, так еще и менюшки-окошки там ни разу не предусмотрены, предполагается, что бутменеджерит операционная система.

ладно хоть загрузочное устройство дали выбрать - стандарт uefi, afaik, и этого не требует, оставляет на откуп производителю.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

79. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от fi (ok), 09-Янв-19, 12:48 
да, такое тоже бывает. Но сам лично наблюдал как "убунточка" при upgrade снесла к черту свою загрузку и ву а'ля - остался голый груб, как-то ядро обновляется неправильно.

«теперь RHEL наше всё!»

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (-), 08-Янв-19, 14:53 
Забей, твои стены все-равно никто не читает.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

52. "Debian тестирует поддержку UEFI Secure Boot"  +2 +/
Сообщение от Аноним (52), 08-Янв-19, 16:18 
Я читаю, он правильно пишет, но противно, да, с издёвкой.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

58. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (58), 08-Янв-19, 18:15 
Убунта только ноутбуки леново окирпичивала, и там был целый ряд факторов - от кривой установки до тупости производителя ноутбуков, разрешившего запись в критически важные области памяти чипа на материнке.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

64. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (64), 08-Янв-19, 20:00 
Не только. Еще самсунги, причем их она "окирпичивала" именно из-за кривого драйвера, под который потом в бубунту пришлось патч добавлять.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

30. "Debian тестирует поддержку UEFI Secure Boot"  –4 +/
Сообщение от Аноним (30), 08-Янв-19, 12:04 
Польза, это смотря для кого.

Например, знаете такую ОС Роса Линукс? Когда она выходила в крайний раз и почему новых выпусков до сих пор нет?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

59. "Debian тестирует поддержку UEFI Secure Boot"  +4 +/
Сообщение от Аноним (58), 08-Янв-19, 18:17 
Потому, что крайними бывают случай, север и плоть, а раз - он последний.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

73. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (30), 09-Янв-19, 09:52 
> а раз - он последний.

Многозначная поправочка.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

36. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним84701 (ok), 08-Янв-19, 13:46 
> А в чем польза secure boot? И есть ли она вообще?

Типа, можно (чисто теоретически) не опасаться буткитов (была одно время модная истерия):
http://www.h-online.com/security/news/item/Bootkit-bypasses-...
> Bootkit bypasses hard disk encryption
> At the Black Hat security conference, Austrian IT security specialist Peter Kleissner presented
> a bootkit called Stoned which is capable of bypassing the TrueCrypt partition and system encryption.

http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BH...
https://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/B...

на практике, правда, требуется еще запретить запуск неподписанных бинарей, иначе первая же малварь прекрасно сможет "изнутри" системы читать зашифрованный диск без всяких извращений с загрузкой в ring0 или модификации загрузчика.
Ну и заодно дыры в подписанных бинарях и библиотеках тоже -- запретить.
К этому конечно "ведущие ОС" стремятся (хотя и совсем не с целью сделать пользователю приятное), но …

А на самом деле все эти буткиты обнуляются банальным кастомным загрузчиком с флешки/CD,  считающим проверочную сумму носителя, а потом и загружающимся с него (или же бибикающим при несовпадении).
Тут главное, чтобы все можно было надежно "залочить" на определенный порядок загрузки и этот порядок нельзя было изменить незаметно для пользователя в его отсутсвии. (т.е. да, нужно было убрать тонны мастерпаролей и возможностей обхода -- судя по утечке мастерключа для "сикурбута" у МС 3 года назад, задача совершенно невыполнимая)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

65. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от DerRoteBaron (ok), 08-Янв-19, 20:02 
Мелкомягкий - грубо говоря не нужен вообще. Со своими ключами - чтобы обезопасить железку от загрузки чужого кода и встраивания буткитов между efi и "правильным" загрузчиком. От продвинутых мамкиных хацкеров годное средство.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

70. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от бздун (?), 09-Янв-19, 00:27 
У интела всё равно нету никакого Secure Boot. Все образы BIOS подписаны интеловским ключом (а не OEM'ным), rollback protection выключен везде, даже на интеловских бордах, у большинства OEM ещё и сконфигурировано всё неправильно. При физическом доступе (ну или из винды через официальный прошивальщик) всегда можно прошить старую прошивку с незапатченной уязвимостью и грузить что угодно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

72. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Григорий Федорович Конин (?), 09-Янв-19, 02:29 
Зато у интела есть прекрасный зонд AMT который может вам даже заблокировать материнку удалённо.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

74. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (30), 09-Янв-19, 09:55 
А Вам он не может заблокировать? Что Вы предприняли?
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

82. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Григорий Федорович Конин (?), 09-Янв-19, 16:43 
> А Вам он не может заблокировать? Что Вы предприняли?

У меня слишком старый интел, мне тогда ещё не подвезли.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

85. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (85), 09-Янв-19, 18:29 
AMT - это не зонд, а фича, за которую требуют немалые деньги. Зонд - ME - та же фича, даже ещё круче, но только для Интела.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

3. "Debian тестирует поддержку UEFI Secure Boot"  +6 +/
Сообщение от 1366x768 хватит на всех (?), 08-Янв-19, 09:02 
Увяз коготок. Всей птичке пропасть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Debian тестирует поддержку UEFI Secure Boot"  +2 +/
Сообщение от Стяжечка (?), 08-Янв-19, 09:20 
Зауважал дебиан после ситуации с лицензией микрокода интел. Они не согнулись под интел и те уступили...Теперь дебиан с майкросовтофтовской поделкой екшается.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от A.Stahl (ok), 08-Янв-19, 09:41 
Не якшается, а тыкает палочкой. А как поймёт как этим пользоваться, то, глядишь, тоже поднимает вопрос чтобы эти ключи можно было самостоятельно генерировать и впихивать в БИОС.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (19), 08-Янв-19, 11:02 
А в чем толк тогда от этого т.н. обезопасного бута, если сертификатом можно будет подписать любую поделку на ядре линя (то есть по факту всё страшное, что только можно представить)? SB - сильная и независимая (нет) попытка мелкомягких тивиайнуть весь десктопный промысел, что впринципе у них получилось, т.к. некоторые приходят в шок даже от самого процесса нажатия клавишинейм и перехода в биос. Практической же пользы от этой функции чуть больше, чем никакой, если вы не на производстве
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

29. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (30), 08-Янв-19, 12:02 
Ключи можно генерировать, а вот "впизивать" - не на всякой аппаратуре.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Debian тестирует поддержку UEFI Secure Boot"  +2 +/
Сообщение от Аноним (5), 08-Янв-19, 09:39 
Теперь установочный DVD или флешка не выдаст красный экран "вы пытаетесь загрузить неподписанное ПО". На ноутах Secure Boot же "из коробки".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (19), 08-Янв-19, 11:06 
Он там отключается либо безвозмездно, либо после установки пароля на настройки биоса. Так что это просто какой-то тупой костыль, сделанный для особых случаев (хотя там обычно просто блочат биос, так что тоже непонятно)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Debian тестирует поддержку UEFI Secure Boot"  +4 +/
Сообщение от Аноним (7), 08-Янв-19, 09:46 
Нет, брат Аноним, эти заигрывания в конечном итоге приведут к тому, что секуре бут будет неотключаем в большинстве, если не во всех устройствах, а у МС всегда будет "кольцо, которое будет управлять всеми." (на правах ванги)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (5), 08-Янв-19, 10:15 
А он разве отключаем? Мне на ноуте CLEVO KAPOK не удалось даже зайти в UEFI ни по F2, ни по ESC. Пртшлось идти в магазин DNS и говорить "я хочу отказаться от Windows - удалите, пожалуйста, и верните деньги". Вставили загадочный чёрный диск, и винды не стало, а UEFI стал доступен
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

35. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Crazy Alex (ok), 08-Янв-19, 12:23 
ну значит отключаем, раз отключили
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

48. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (48), 08-Янв-19, 15:27 
И сколько вернули?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

68. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (68), 08-Янв-19, 20:37 
Тыщу с чем-то. Винда тогда стоила дёшево
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

80. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Анон546 (?), 09-Янв-19, 16:02 
ваше описание похоже на механизм "забей на биос, грузи Винду", который этой самой виндой эксплуатируется при гибернации. и вход в биос (или невозможность это сделать) к самому секьюр буту не имеет особого отношения
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

8. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (9), 08-Янв-19, 09:56 
В kvm ubuntu 19.04 уже завезли открытый secureboot и secureboot ms.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Anon_Erohin (?), 08-Янв-19, 10:02 
Похоже пора переходить на другие дистры... прогнулись. Это печально.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Debian тестирует поддержку UEFI Secure Boot"  +4 +/
Сообщение от ryoken (ok), 08-Янв-19, 10:14 
Перетаскиваю свой домашний комп на Gentoo. (Сейчас допинывается LibreOffice, который не так чтоб особо нужен, но для комплекта - чтоб был). Хомяк общий с Дебом, большинство софта дёрнуло конфиги и взлетело, только Steam малость переделался :). Ни системДы, ни Пульсы.. Красота! :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

32. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (30), 08-Янв-19, 12:12 
* sys-boot/shim
     Доступные версии:      15.5-r1
     Домашняя страница:     https://apps.fedoraproject.org/packages/shim/
     Описание:              Fedora's signed UEFI shim
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

42. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от другой Аноним (?), 08-Янв-19, 14:51 
echo "sys-boot/shim #M$ signed shit" >> /etc/portage/package.mask/evil
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

46. "Debian тестирует поддержку UEFI Secure Boot"  +3 +/
Сообщение от Аноним (30), 08-Янв-19, 15:05 
> #M$ signed shit

Этимология слова shi-m прояснилась.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

55. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от ryoken (ok), 08-Янв-19, 17:21 
>      Описание:      
>        Fedora's signed UEFI shim

Нефиг всякое бугага тащить. Есть же grub2.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

61. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Michael Shigorinemail (ok), 08-Янв-19, 19:34 
Не смешно.

http://www.rodsbooks.com/efi-bootloaders/principles.html

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

78. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (30), 09-Янв-19, 11:59 
> Есть же grub2.

Есть и USE-флаг gnuefi у systemd  (одевает каску, прыгает в окоп).

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

11. "Debian тестирует поддержку UEFI Secure Boot"  +2 +/
Сообщение от Пользователь (?), 08-Янв-19, 10:02 
> будет задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft

Linux постепенно становится похож на "винду"..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (48), 08-Янв-19, 15:30 
Ну дык они же теперь не делают ОС, а предоставляют сервис. Так что через несколько лет вполне десятка может обновиться в линь-сервис собранный мелкософтом.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

60. "Debian тестирует поддержку UEFI Secure Boot"  –1 +/
Сообщение от Аноним (58), 08-Янв-19, 18:20 
Что ты несешь? Кто там тебе сервис предоставляет?
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

81. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (81), 09-Янв-19, 16:12 
Значит я вот это не правильно понял.
https://docs.microsoft.com/ru-ru/windows/deployment/update/w...
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

18. "Debian тестирует поддержку UEFI Secure Boot"  +2 +/
Сообщение от Аноним (18), 08-Янв-19, 11:01 
SecBoot со своими ключами + полнодисковое шифрование. Так имеет смысл. Инное блажь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (-), 08-Янв-19, 14:47 
Отключенный SecBoot. Так имеет смысл. Инное блажь.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

51. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Имя (?), 08-Янв-19, 15:46 
Ты доверяешь SecBoot ключи от диска? Тогда зачем тебе свои ключи?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

66. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от DerRoteBaron (ok), 08-Янв-19, 20:06 
Нет, SecureBoot доверяется бинарь загрузчика, который и осуществляет расшифровку диска (от пароля с клавиатуры, скажем). При этом бинарь загрузчика подписан ключом не мелкомягким, а своим собственным
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

71. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (71), 09-Янв-19, 01:11 
RTFM.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

20. "Debian тестирует поддержку UEFI Secure Boot"  +2 +/
Сообщение от Ilya Indigo (ok), 08-Янв-19, 11:03 
У него её до сих пор не было и даже ещё нет?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Debian тестирует поддержку UEFI Secure Boot"  –1 +/
Сообщение от Аноним (18), 08-Янв-19, 11:12 
Ну так не зря погоняло Дебки МУЗЕЙ :D
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

37. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (37), 08-Янв-19, 14:03 
Господа я вас разочарую UEFI Secure Boot безполезная легко взламываемая
х**та, и создана только в интересах
M$.
О пользе для пользователей не идет и речи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Debian тестирует поддержку UEFI Secure Boot"  +5 +/
Сообщение от Аноним (41), 08-Янв-19, 14:49 
Спасибо, Кэп! Нормальные люди просто отключают его при первом заходе в бивис.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

44. "Debian тестирует поддержку UEFI Secure Boot"  +4 +/
Сообщение от Аноним (37), 08-Янв-19, 14:54 
Так это сейчас есть возможность отключить на десктопе, а вот на некоторых ноутах уже тестят не отключаемую и проверяют схавают или нет если да то еще год 2 и сделают везде не отключаемую.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

45. "Debian тестирует поддержку UEFI Secure Boot"  +6 +/
Сообщение от Tirex (?), 08-Янв-19, 14:57 
Значит привет свободные кастомные ноуты.

https://puri.sm/

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

47. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (30), 08-Янв-19, 15:11 
Не нашёл там информации по firmware.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

54. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от пох (?), 08-Янв-19, 16:43 
пруф, или назвиздел.

Пруф- в виде взломанной тобой системы с secureboot, правильно настроенным - то есть левый ms'овский ключик заблокирован.

Могу ненадолго выдать тебе макбук для этой цели, хоть на часок приобщишься к прекрасному ;-)


Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

56. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Аноним (56), 08-Янв-19, 17:37 
Взломать не взломали а новость что после проблем с UEFI ноуты становились подставкой под цветы.
https://www.opennet.me/opennews/art.shtml?num=35973
https://www.opennet.me/opennews/art.shtml?num=43795
Можешь сказать что проблема в пользователе или софте, но толку от такой безопасности когда железо становится не рабочим хламом. Одно дело когда не можешь загрузить систему другое не рабочее железо.
Производители ещё не внесли в условия гарантии что при модификации UEFI это не гарантийный случай?
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

67. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от DerRoteBaron (ok), 08-Янв-19, 20:12 
Тут проблема не в UEFI, а в принципе в индустрии
Современные процы очень сложные (чтобы быть быстрыми и совместимыми), поэтому ими рулит софт. Софт тоже не очень простой. Раз он есть, в него добавили фич, потому, что и могут и хочется. Получился монстр. К нему наконец добавили режим загрузки, отличающийся более-менее продвинутой и типа разумной структурой. И хорошо, что это сделали, так как теперь этот монстр присутствует более-менее честно и явно, а не эмулирует костыли из дремучей древности новыми костылями.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

75. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (30), 09-Янв-19, 10:23 
А в это время ракеты отправляются в Космос.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

76. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от нах (?), 09-Янв-19, 10:58 
а это уж как получится - иногда в космос, иногда в казахскую степь недалече.
А у Маска все еще немного неготово для отправки в космос не трупов, ну, точнее, для того чтобы они были еще живые, когда долетят, с дохлым-то уже технология отработана.
То ли amt мешает, то ли secureboot, то ли лыжи не едут...

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

77. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (30), 09-Янв-19, 11:55 
Фаберже, как всегда, виноват.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

69. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от пох (?), 08-Янв-19, 22:18 
> Взломать не взломали а новость что после проблем с UEFI
> ноуты становились подставкой под цветы.

ну так не запускай кривых убунтиных скриптов - и не станут.

> Можешь сказать что проблема в пользователе или софте,

проблема именно в софте (ну и в пользователе, запускающем всякий трэш)

> но толку от такой безопасности когда железо становится не рабочим хламом.

ну вот пользователям б-жественной десяточки - никаких проблем, безопасность действительно выше чем без s-b, особенно если еще и диск зашифровать (благо ленова из коробки предлагает). Некоторый риск превращения в тыкву остается, но при шифроиграх он всегда есть, делай бэкап.

> Производители ещё не внесли в условия гарантии что при модификации UEFI это не гарантийный
> случай?

нет, но вполне могут, если ситуация станет часто повторяемой. Была же уже история с vlc и его любовью к громкости 1000%, когда соня решила что ей неинтересно менять порванные динамики и пожженые усилители в ноутах. И тоже - кто виноват, vlc, пользователь, глупая соня, единственная из всех не снабдившая звуковуху ограничителем, понадеявшись на разум разработчиков?

Я там уже писал как должны выглядеть правильные скрипты и что они должны делать - и автоматически продолжил, к чему это логичненько приведет, учитывая качество как скриптов так и их пользователей. Заметим, я в тот момент напрочь забыл об истории с леновой.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

83. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от barbarella (?), 09-Янв-19, 17:22 
я имею некоторое отношение ко всяким загрузчикам\uefi, так вот:
1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор, нихрена не разбираясь что тот или иной efi-модуль делает.
2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через LoadImage() он загрузится, только если в свою очередь также подписан в microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужным смещениям, расставить реллоки и стартануть через его точку входа - efi модуль замечательно стартанет, и никакая подпись не потребуется. Этим фактом и пользуются всякие подписанные в microsoft shim-ы, которые стартуют после себя что угодно.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

84. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от Michael Shigorinemail (ok), 09-Янв-19, 18:06 
> я имею некоторое отношение ко всяким загрузчикам\uefi, так вот:
> 1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор,
> нихрена не разбираясь что тот или иной efi-модуль делает.

Гм, shim несколько лет назад они подписывали явно ковыряясь в бинаре (я собирал не конкретную версию "точно", а что-то промежуточное с патчами из гита -- удивлялись).

> 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в
> microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через
> LoadImage() он загрузится, только если в свою очередь также подписан в
> microsoft.

Вот только конкретно с shim была проделана такая "полюбовно согласованная" штука: где-то с рубежа 2013/2014 годов подписанию UEFI CA (бишь MSFT "за неимением других желающих") подлежат только релизы 0.5+, поскольку в 0.5 добавили хук на подрыв загрузки этого самого следующего бинаря, если он не ходил в LoadImage(), т.е. не проверял фирмварным методом то, что грузит дальше.

https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO#shim
https://github.com/mjg59/shim/commit/f95ccd0a7f64c0a63b06fdd...

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

86. "Debian тестирует поддержку UEFI Secure Boot"  +1 +/
Сообщение от barbarella (?), 09-Янв-19, 21:27 
1
Shim это официальный таран от OSS, поэтому его и шерстили для порядка. Я работаю в конторе сильно поскромнее чем RedHat - у нас ms подписывают все что закинем, не задавая вопросов.
2
Не очень понял, кто кому что запрещает, но на свежей плате Gigabyte H310M DS2 с последней версией прошивки у меня стартует подписанный в микрософт загрузчик, который вручную грузит уже наш неподписанный в ms загрузчик и все отрабатывает как положено (код ручной загрузки я выдрал из последнего мастера в https://github.com/rhboot/shim)
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

87. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Michael Shigorinemail (ok), 09-Янв-19, 21:48 
> Не очень понял, кто кому что запрещает

Это именно по shim упоминал, но "звоночек".

В любом разе спасибо за наблюдения -- я ещё кое-какие на публике всё-таки, пожалуй, не буду от своего имени озвучивать, но всё в сумме отрезонировало забавным образом :)

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

89. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от нах (?), 10-Янв-19, 12:55 
> 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в
> microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через
> LoadImage() он загрузится, только если в свою очередь также подписан в
> microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужным

теоретически - такое либо не должны подписывать, не позадавав уточняющие вопросы, либо оно должно уметь проверять свои собственные подписи (что было бы условно правильно, но залочило бы выбор того, что оно грузит, до списка подписанных хорошими ребятами)

на практике, полагаю, ms не случайно для винды использует совсем-совсем другой ключик, и им ничего кроме винды не подписывает.

именно потому что что там подписывается ключиком для oem'ов - индусу и разбираться лень, и некогда ему.


Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

88. "Debian тестирует поддержку UEFI Secure Boot"  –1 +/
Сообщение от Аноним (88), 09-Янв-19, 23:39 
Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключи из UEFI, генерируются свои и ими подписываются ядра.
Больше интересует вопрос как подписать винду своим кастомным ключом, чтобы иногда пускать ее в дуалбуте.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

90. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от вендор (?), 10-Янв-19, 13:02 
> Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключи

если я тебе нарисовал окошко с менюшком и мышком - то достаточно просто.
а если я строго следовал спецификациям на uefi - вот тебе efi shell, ну-ка, попробуй в нем что-нибудь удали или добавь.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

91. "Debian тестирует поддержку UEFI Secure Boot"  +/
Сообщение от Аноним (88), 10-Янв-19, 13:49 
Не знаю можно ли тут давать ссылки, загугли Sakaki's EFI Install Guide и попробуй.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру