Secure Boot

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

Ответить

Используете ли Secure Boot?

Да
1
7%
Нет
13
93%
Не применимо
0
Голосов нет
 
Всего голосов: 14

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Secure Boot

Сообщение serzh-z »

Вопрос связан с тем, что некоторые считают Secure Boot "вредной хренью" и отключают в настройках UEFI. Для пользователей большинства коммерческих дистрибутивов этот вопрос не слишком важен.
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Secure Boot

Сообщение azsx »

Уточните, пожалуйста, а как его можно "применять"? То есть может я по неопытности считаю Secure Boot "вредной хренью"?
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Secure Boot

Сообщение serzh-z »

azsx писал(а):
27.04.2018 02:43
Уточните, пожалуйста, а как его можно "применять"?
Включить в настройках прошивки и загружать доверенную цепочку UEFI -> [подписанный загрузчик -> ]подписанное ядро[ -> подписанные модули] вместо UEFI -> [загрузчик -> ]ядро.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Secure Boot

Сообщение Bizdelnick »

А что толку его использовать? Проверки всё равно идут не дальше ядра, в то время как вредоносный код если и появится где-то, то скорее всего в юзерспейсе. Так что я не использую, хоть и умею его готовить (ну то есть умел, может что уже и подзабыл за ненадобностью).
Хотя… Не знаю, включён ли он на ноуте с предустановленной убунтой. Вполне может быть.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Kopilov
Сообщения: 947
ОС: [K]Ubuntu, Debian

Re: Secure Boot

Сообщение Kopilov »

На ноутбуке, которым я сейчас пользуюсь, этой сущности нет. (Да, он уже «старенький», лет пять пашет. Продавался с Win7.)
Один раз отключал на ноутбуке, купленном для папы, там был предустановлет Linux Linpus без иксов.

А если захочется его использовать, можно ли будет подписать загрузчик и ядро (например, для того же Gentoo) самому, не покупая дорогих сертификатов? Или буду ограничен «белым списком» свыше?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Secure Boot

Сообщение Bizdelnick »

Kopilov писал:
27.04.2018 14:29
А если захочется его использовать, можно ли будет подписать загрузчик и ядро (например, для того же Gentoo) самому, не покупая дорогих сертификатов? Или буду ограничен «белым списком» свыше?
Можно самому сгенерить сертификат и ключ самым обычным openssl'ем или аналогичной утилитой. Сертификат залить в db (это может быть реализовано неочевидным образом, но на всех x86-машинах должно быть возможно), подписывать соответствующим ему ключом. Кажется, утилита для подписывания называлась pesign или как-то наподобие. Только ядро придётся собирать как-то хитро, чтобы оно упаковалось в PE. Но в случае обычной Gentoo, когда ядро собирается (и подписывается) на той же системе, где используется, это лишено смысла. Ключ-то придётся где-то рядом держать.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
IMB
Сообщения: 2559
ОС: Debian

Re: Secure Boot

Сообщение IMB »

используем на платах с ARM CPU, если под Secure Boot подразумевать затруднение загрузки стороннего софта
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Secure Boot

Сообщение serzh-z »

Bizdelnick писал:
27.04.2018 09:04
А что толку его использовать?
Это уже другой вопрос. Мне тоже кажется, что SB, в случае открытого ПО, - это, в общем-то, как заткнуть одну дырку, в дырявом ведре, из десяти, оставив остальные девять как есть. Но с другой стороны - лучше девять дырок, чем десять.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Secure Boot

Сообщение Bizdelnick »

serzh-z
А какая разница, открытое ли ПО? Проблема не в открытости, а в неполноте цепочки проверок. Если бы даже сделали проверку подписей ELF'ов (а предлагали, и вроде бы даже неоднократно, но Линус благоразумно не взял), всё равно остались бы скрипты, с которыми вопрос так легко не решить.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Secure Boot

Сообщение serzh-z »

Bizdelnick
Ну вообще, задача Secure Boot - предотвратить процесс загрузки скомпрометированого ядра, а не защищать пользователя от пляшущих свинок.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Secure Boot

Сообщение serzh-z »

Bizdelnick писал:
27.04.2018 09:04
Не знаю, включён ли он на ноуте с предустановленной убунтой.
В Ubuntu все включено и все подписано. Даже проприетарный драйвер типа NVIDIA не загрузишь с оригинальным ядром.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Secure Boot

Сообщение Bizdelnick »

serzh-z писал:
27.04.2018 21:19
задача Secure Boot - предотвратить процесс загрузки скомпрометированого ядра
Бессмысленная задача сама по себе. Если кто-то мог подсунуть скомпроментированное ядро, значит он мог подложить в систему что угодно. То есть рут у него по любому есть.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Secure Boot

Сообщение serzh-z »

Bizdelnick писал:
27.04.2018 21:31
Если кто-то мог подсунуть скомпроментированное ядро, значит он мог подложить в систему что угодно. То есть рут у него по любому есть.
Если ядро не грузится, то это повод задуматься о том, что скомпроментировано окружение. А защита от подмены окружения - это уже не забота Secure Boot, тут LUKS или другое FDE нужно.
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Secure Boot

Сообщение chitatel »

Имею единственный девайс с возможностью применения Secure Boot. Отключен в настройках BIOS.

Отключал явно сам при настройке свежеустанавливаемой Ubuntu, почему именно так сделал - не помню. Наверное, Secure Boot доставлял какой-то геморрой.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Secure Boot

Сообщение serzh-z »

chitatel писал:
30.04.2018 15:42
Наверное, Secure Boot доставлял какой-то геморрой.
Ну это его нормальное состояние, даже сейчас, спустя лет пять после его изобретения. )
Спасибо сказали:
NickLion
Сообщения: 3408
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: Secure Boot

Сообщение NickLion »

Secure Boot есть, активен, жить совсем не мешает, когда нужно было своё ядро собрал в OBS со своим ключом и добавил его в утилите UEFI.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Secure Boot

Сообщение serzh-z »

Попалось в одном из багрепортов Arch упоминание того, что в документе по сертификации с Windows 10 убрали пункт "Secure Boot может быть отключен" и, вроде бы, говорят, что на некоторых новых системах Lenovo его уже самом деле нельзя отключить. Не знаю, возможно ли там хотя бы прошивать свои ключи.

Вот как получается, что Microsoft удается везде влезть: Android (лицензии), любое железо с UEFI...
Спасибо сказали:
Аватара пользователя
Базлайтер
Сообщения: 98
Статус: Маньяк-ковырятель
ОС: Kubuntu 14.04

Re: Secure Boot

Сообщение Базлайтер »

Куча гемороя это Секьюрный Бут и ЕФИ. Не знаю, может где то на серверах это и нужно. Но по мне это более
serzh-z писал:
03.05.2018 22:14
Вот как получается, что Microsoft удается везде влезть: Android (лицензии), любое железо с UEFI...
Когда то заморачивался на ноуте. В общем вышло так, что мне без этй хрени жить куда веселей. Толку от него? А неудобств - масса помниться была, начиная от установки.
Забыл как страшный сон.
Спасибо сказали:
Ответить