Secure Boot

[serzh-z]

Вопрос связан с тем, что некоторые считают Secure Boot "вредной хренью" и отключают в настройках UEFI. Для пользователей большинства коммерческих дистрибутивов этот вопрос не слишком важен.

[azsx]

Уточните, пожалуйста, а как его можно "применять"? То есть может я по неопытности считаю Secure Boot "вредной хренью"?

[serzh-z]

Уточните, пожалуйста, а как его можно "применять"?

Включить в настройках прошивки и загружать доверенную цепочку UEFI -> [подписанный загрузчик -> ]подписанное ядро[ -> подписанные модули] вместо UEFI -> [загрузчик -> ]ядро.

[Bizdelnick]

А что толку его использовать? Проверки всё равно идут не дальше ядра, в то время как вредоносный код если и появится где-то, то скорее всего в юзерспейсе. Так что я не использую, хоть и умею его готовить (ну то есть умел, может что уже и подзабыл за ненадобностью).
Хотя… Не знаю, включён ли он на ноуте с предустановленной убунтой. Вполне может быть.

[Kopilov]

На ноутбуке, которым я сейчас пользуюсь, этой сущности нет. (Да, он уже «старенький», лет пять пашет. Продавался с Win7.)
Один раз отключал на ноутбуке, купленном для папы, там был предустановлет Linux Linpus без иксов.

А если захочется его использовать, можно ли будет подписать загрузчик и ядро (например, для того же Gentoo) самому, не покупая дорогих сертификатов? Или буду ограничен «белым списком» свыше?

[Bizdelnick]

А если захочется его использовать, можно ли будет подписать загрузчик и ядро (например, для того же Gentoo) самому, не покупая дорогих сертификатов? Или буду ограничен «белым списком» свыше?

Можно самому сгенерить сертификат и ключ самым обычным openssl'ем или аналогичной утилитой. Сертификат залить в db (это может быть реализовано неочевидным образом, но на всех x86-машинах должно быть возможно), подписывать соответствующим ему ключом. Кажется, утилита для подписывания называлась pesign или как-то наподобие. Только ядро придётся собирать как-то хитро, чтобы оно упаковалось в PE. Но в случае обычной Gentoo, когда ядро собирается (и подписывается) на той же системе, где используется, это лишено смысла. Ключ-то придётся где-то рядом держать.

[IMB]

используем на платах с ARM CPU, если под Secure Boot подразумевать затруднение загрузки стороннего софта

[serzh-z]

А что толку его использовать?

Это уже другой вопрос. Мне тоже кажется, что SB, в случае открытого ПО, - это, в общем-то, как заткнуть одну дырку, в дырявом ведре, из десяти, оставив остальные девять как есть. Но с другой стороны - лучше девять дырок, чем десять.

[Bizdelnick]

serzh-z
А какая разница, открытое ли ПО? Проблема не в открытости, а в неполноте цепочки проверок. Если бы даже сделали проверку подписей ELF'ов (а предлагали, и вроде бы даже неоднократно, но Линус благоразумно не взял), всё равно остались бы скрипты, с которыми вопрос так легко не решить.

[serzh-z]

Bizdelnick
Ну вообще, задача Secure Boot - предотвратить процесс загрузки скомпрометированого ядра, а не защищать пользователя от пляшущих свинок.

[serzh-z]

Не знаю, включён ли он на ноуте с предустановленной убунтой.

В Ubuntu все включено и все подписано. Даже проприетарный драйвер типа NVIDIA не загрузишь с оригинальным ядром.

[Bizdelnick]

задача Secure Boot - предотвратить процесс загрузки скомпрометированого ядра

Бессмысленная задача сама по себе. Если кто-то мог подсунуть скомпроментированное ядро, значит он мог подложить в систему что угодно. То есть рут у него по любому есть.

[serzh-z]

Если кто-то мог подсунуть скомпроментированное ядро, значит он мог подложить в систему что угодно. То есть рут у него по любому есть.

Если ядро не грузится, то это повод задуматься о том, что скомпроментировано окружение. А защита от подмены окружения - это уже не забота Secure Boot, тут LUKS или другое FDE нужно.

[chitatel]

Имею единственный девайс с возможностью применения Secure Boot. Отключен в настройках BIOS.

Отключал явно сам при настройке свежеустанавливаемой Ubuntu, почему именно так сделал - не помню. Наверное, Secure Boot доставлял какой-то геморрой.

[serzh-z]

Наверное, Secure Boot доставлял какой-то геморрой.

Ну это его нормальное состояние, даже сейчас, спустя лет пять после его изобретения. )

[NickLion]

Secure Boot есть, активен, жить совсем не мешает, когда нужно было своё ядро собрал в OBS со своим ключом и добавил его в утилите UEFI.

[serzh-z]

Попалось в одном из багрепортов Arch упоминание того, что в документе по сертификации с Windows 10 убрали пункт "Secure Boot может быть отключен" и, вроде бы, говорят, что на некоторых новых системах Lenovo его уже самом деле нельзя отключить. Не знаю, возможно ли там хотя бы прошивать свои ключи.

Вот как получается, что Microsoft удается везде влезть: Android (лицензии), любое железо с UEFI...

[Базлайтер]

Куча гемороя это Секьюрный Бут и ЕФИ. Не знаю, может где то на серверах это и нужно. Но по мне это более

Вот как получается, что Microsoft удается везде влезть: Android (лицензии), любое железо с UEFI...

Когда то заморачивался на ноуте. В общем вышло так, что мне без этй хрени жить куда веселей. Толку от него? А неудобств - масса помниться была, начиная от установки.
Забыл как страшный сон.