Secure Boot

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

Используете ли Secure Boot?

Да
1
7%
Нет
13
93%
Не применимо
0
Голосов нет
 
Всего голосов: 14

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Secure Boot

Сообщение serzh-z » 27.04.2018 02:06

Вопрос связан с тем, что некоторые считают Secure Boot "вредной хренью" и отключают в настройках UEFI. Для пользователей большинства коммерческих дистрибутивов этот вопрос не слишком важен.
Scio me nihil scire.
Спасибо сказали:

azsx
Сообщения: 2646
ОС: calculate linux, debian, ubuntu

Re: Secure Boot

Сообщение azsx » 27.04.2018 02:43

Уточните, пожалуйста, а как его можно "применять"? То есть может я по неопытности считаю Secure Boot "вредной хренью"?
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Secure Boot

Сообщение serzh-z » 27.04.2018 02:54

azsx писал(а):
27.04.2018 02:43
Уточните, пожалуйста, а как его можно "применять"?
Включить в настройках прошивки и загружать доверенную цепочку UEFI -> [подписанный загрузчик -> ]подписанное ядро[ -> подписанные модули] вместо UEFI -> [загрузчик -> ]ядро.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15050
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Secure Boot

Сообщение Bizdelnick » 27.04.2018 09:04

А что толку его использовать? Проверки всё равно идут не дальше ядра, в то время как вредоносный код если и появится где-то, то скорее всего в юзерспейсе. Так что я не использую, хоть и умею его готовить (ну то есть умел, может что уже и подзабыл за ненадобностью).
Хотя… Не знаю, включён ли он на ноуте с предустановленной убунтой. Вполне может быть.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Kopilov
Сообщения: 637
ОС: Gentoo, Debian

Re: Secure Boot

Сообщение Kopilov » 27.04.2018 14:29

На ноутбуке, которым я сейчас пользуюсь, этой сущности нет. (Да, он уже «старенький», лет пять пашет. Продавался с Win7.)
Один раз отключал на ноутбуке, купленном для папы, там был предустановлет Linux Linpus без иксов.

А если захочется его использовать, можно ли будет подписать загрузчик и ядро (например, для того же Gentoo) самому, не покупая дорогих сертификатов? Или буду ограничен «белым списком» свыше?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15050
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Secure Boot

Сообщение Bizdelnick » 27.04.2018 14:54

Kopilov писал:
27.04.2018 14:29
А если захочется его использовать, можно ли будет подписать загрузчик и ядро (например, для того же Gentoo) самому, не покупая дорогих сертификатов? Или буду ограничен «белым списком» свыше?
Можно самому сгенерить сертификат и ключ самым обычным openssl'ем или аналогичной утилитой. Сертификат залить в db (это может быть реализовано неочевидным образом, но на всех x86-машинах должно быть возможно), подписывать соответствующим ему ключом. Кажется, утилита для подписывания называлась pesign или как-то наподобие. Только ядро придётся собирать как-то хитро, чтобы оно упаковалось в PE. Но в случае обычной Gentoo, когда ядро собирается (и подписывается) на той же системе, где используется, это лишено смысла. Ключ-то придётся где-то рядом держать.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

IMB
Сообщения: 2437
ОС: Debian

Re: Secure Boot

Сообщение IMB » 27.04.2018 15:14

используем на платах с ARM CPU, если под Secure Boot подразумевать затруднение загрузки стороннего софта
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Secure Boot

Сообщение serzh-z » 27.04.2018 21:00

Bizdelnick писал:
27.04.2018 09:04
А что толку его использовать?
Это уже другой вопрос. Мне тоже кажется, что SB, в случае открытого ПО, - это, в общем-то, как заткнуть одну дырку, в дырявом ведре, из десяти, оставив остальные девять как есть. Но с другой стороны - лучше девять дырок, чем десять.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15050
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Secure Boot

Сообщение Bizdelnick » 27.04.2018 21:06

serzh-z
А какая разница, открытое ли ПО? Проблема не в открытости, а в неполноте цепочки проверок. Если бы даже сделали проверку подписей ELF'ов (а предлагали, и вроде бы даже неоднократно, но Линус благоразумно не взял), всё равно остались бы скрипты, с которыми вопрос так легко не решить.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Secure Boot

Сообщение serzh-z » 27.04.2018 21:19

Bizdelnick
Ну вообще, задача Secure Boot - предотвратить процесс загрузки скомпрометированого ядра, а не защищать пользователя от пляшущих свинок.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Secure Boot

Сообщение serzh-z » 27.04.2018 21:23

Bizdelnick писал:
27.04.2018 09:04
Не знаю, включён ли он на ноуте с предустановленной убунтой.
В Ubuntu все включено и все подписано. Даже проприетарный драйвер типа NVIDIA не загрузишь с оригинальным ядром.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15050
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Secure Boot

Сообщение Bizdelnick » 27.04.2018 21:31

serzh-z писал:
27.04.2018 21:19
задача Secure Boot - предотвратить процесс загрузки скомпрометированого ядра
Бессмысленная задача сама по себе. Если кто-то мог подсунуть скомпроментированное ядро, значит он мог подложить в систему что угодно. То есть рут у него по любому есть.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Secure Boot

Сообщение serzh-z » 27.04.2018 21:45

Bizdelnick писал:
27.04.2018 21:31
Если кто-то мог подсунуть скомпроментированное ядро, значит он мог подложить в систему что угодно. То есть рут у него по любому есть.
Если ядро не грузится, то это повод задуматься о том, что скомпроментировано окружение. А защита от подмены окружения - это уже не забота Secure Boot, тут LUKS или другое FDE нужно.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
chitatel
Сообщения: 1615

Re: Secure Boot

Сообщение chitatel » 30.04.2018 15:42

Имею единственный девайс с возможностью применения Secure Boot. Отключен в настройках BIOS.

Отключал явно сам при настройке свежеустанавливаемой Ubuntu, почему именно так сделал - не помню. Наверное, Secure Boot доставлял какой-то геморрой.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Secure Boot

Сообщение serzh-z » 30.04.2018 17:53

chitatel писал:
30.04.2018 15:42
Наверное, Secure Boot доставлял какой-то геморрой.
Ну это его нормальное состояние, даже сейчас, спустя лет пять после его изобретения. )
Scio me nihil scire.
Спасибо сказали:

NickLion
Сообщения: 3408
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: Secure Boot

Сообщение NickLion » 30.04.2018 18:09

Secure Boot есть, активен, жить совсем не мешает, когда нужно было своё ядро собрал в OBS со своим ключом и добавил его в утилите UEFI.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7894
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Secure Boot

Сообщение serzh-z » 03.05.2018 22:14

Попалось в одном из багрепортов Arch упоминание того, что в документе по сертификации с Windows 10 убрали пункт "Secure Boot может быть отключен" и, вроде бы, говорят, что на некоторых новых системах Lenovo его уже самом деле нельзя отключить. Не знаю, возможно ли там хотя бы прошивать свои ключи.

Вот как получается, что Microsoft удается везде влезть: Android (лицензии), любое железо с UEFI...
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Базлайтер
Сообщения: 98
Статус: Маньяк-ковырятель
ОС: Kubuntu 14.04

Re: Secure Boot

Сообщение Базлайтер » 12.07.2018 18:11

Куча гемороя это Секьюрный Бут и ЕФИ. Не знаю, может где то на серверах это и нужно. Но по мне это более
serzh-z писал:
03.05.2018 22:14
Вот как получается, что Microsoft удается везде влезть: Android (лицензии), любое железо с UEFI...
Когда то заморачивался на ноуте. В общем вышло так, что мне без этй хрени жить куда веселей. Толку от него? А неудобств - масса помниться была, начиная от установки.
Забыл как страшный сон.
Спасибо сказали: