Secure Boot
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Secure Boot
Про такую гадость как Secure Boot писалось много, вот здесь в обсуждении UEFI попутно часто упоминалось: UEFI - проблемы и решения.
Но время идёт, UEFI + Secure Boot - всё чаще в новых моделях компьютеров, и пролемы Secure Boot вылазят при установке проприетарных драйверов (NVIDIA, RADEON и др.) при установке Linux. Вот здесь про это, и как бороться, подробнее: NVIDIA & обновления Fedora. Если на такое напороться, то симптоматика получается весьма загадочная, и поуродоваться придётся изрядно ...
Но время идёт, UEFI + Secure Boot - всё чаще в новых моделях компьютеров, и пролемы Secure Boot вылазят при установке проприетарных драйверов (NVIDIA, RADEON и др.) при установке Linux. Вот здесь про это, и как бороться, подробнее: NVIDIA & обновления Fedora. Если на такое напороться, то симптоматика получается весьма загадочная, и поуродоваться придётся изрядно ...
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Secure Boot
А открывается этот ларчик элементарно:Olej писал(а):Если на такое напороться, то симптоматика получается весьма загадочная, и поуродоваться придётся изрядно ...
Здесь упоминается пакет (проект) mokutil - это что-то из новых:перезагрузиться и проверить результат.Код: Выделить всё
sudo apt-get install mokutil sudo mokutil --disable-validation
Еще можно попробовать отключить Secure Boot в настройках BIOS.
Код: Выделить всё
[olej@dell ~]$ dnf info mokutil
Последняя проверка окончания срока действия метаданных: 0:00:14 назад, Mon Mar 6 10:13:50 2017.
Установленные пакеты
Имя : mokutil
Архитектура : x86_64
Эпоха : 1
Версия : 0.2.0
Релиз : 3.fc23
Размер : 75 k
Репозиторий : @System
Краткое опи : Tool to manage UEFI Secure Boot MoK Keys
URL : https://github.com/lcp/mokutil
Лицензия : GPLv3+
Описание : mokutil provides a tool to manage keys for Secure Boot through the MoK
: ("Machine's Own Keys") mechanism.
С ним определённо стоит познакомиться подробнее!
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Secure Boot
Используем Secure Boot в Linux на всю катушкуOlej писал(а):С ним определённо стоит познакомиться подробнее!
Укрощаем UEFI SecureBoot18 августа 2016 в 13:00
Технология Secure Boot нацелена на предотвращение исполнения недоверенного кода при загрузке операционной системы, то есть защиту от буткитов и атак типа Evil Maid. Устройства с Secure Boot содержат в энергонезависимой памяти базу данных открытых ключей, которыми проверяются подписи загружаемых UEFI-приложений вроде загрузчиков ОС и драйверов. Приложения, подписанные доверенным ключом и с правильной контрольной суммой, допускаются к загрузке, остальные блокируются.
19 декабря 2015 в 05:32
... поэтому сегодня поговорим о том, как заставить UEFI SecureBoot работать не на благо Microsoft, как это чаще всего настроено по умолчанию, а на благо нас с вами.
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Secure Boot
Shim: ещё один универсальный предзагрузчик Secure Boot UEFI
Применение Shim-загрузчика на системах с UEFI Secure BootАнатолий Ализар
06.12.2012
Бывший сотрудник компании Red Hat Мэтью Гарретт выпустил предзагрузчик Shim с сертификатом от Microsoft и опубликовал инструкцию, как использовать его для загрузки любого кода через Secure Boot. Нужно заметить, что за несколько часов до публикации универсального предзагрузчика Мэтью Гарретт уволился из компании Red Hat, так что это официально его личная разработка, а Red Hat формально не имеет к ней отношения.
...
Мэтью Гарретт элегантно решил эту проблему. Он получил ключ от Microsoft для программы MokManager, подписал им предзагрузчик Shim и удалил закрытый ключ. Он также сделал механизм генерации сертификата в системе пользователя на основе любого ключа — и передачу управления от Shim к подписанной программе. Таким образом, пользователь сам выбирает, каким ключом генерировать сертификат, сам генерирует сертификат для произвольного дистрибутива Linux/FreeBSD/проч. и ему не нужно иметь дела с Microsoft. Подобное ухищрение, однако, требует от пользователя совершить некую последовательность действий.
...
Чтобы все это работало, создатели дистрибутивов должны присвоить бинарному файлу shim.efi новое имя bootx64.efi и поместить его на UEFI-разделе, в каталог efi/boot вместе со штатным загрузчиком. К примеру, при использовании GRUB2 скопировать загрузчик grubx64.efi. Скопированный загрузчик (grubx64.efi) подписать сгенерированным закрытым ключом, а публичный ключ указать на носителе установочных файлов. Так дистрибутив можно будет загружать на системах с UEFE Secure Boot. При загрузке образа Shim будет выведено соответствующее меню для выбора пути к ранее сохраненному публичному верификационному ключу. В случае удачной его проверки управление процессом загрузки перейдет к оригинальному загрузчику дистрибутива. Таким образом, Shim представляет собой нечто вроде промежуточного звена.
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Secure Boot
Есть такое впечатление, что на сегодня:
- решение с mokutil и (пред-)загрузчиком shim решают проблемы SecureBoot в а). Ubuntu 16.04, б). Fedora, в). SUSE ... возможно и некоторых других современных (последних) сборках дистрибутивов;
- но там где этого нет, в старых установочных ISO (предыдущие версии дистрибутивов) и в 1001 малых дистрибутивах-сообществах, проблема Secure Boot не решается...
- в некоторых моделях материнских плат и, особенно, ноутбуков встречаются модели, где невозможно отключить (в SETUP) UEFI и Secure Boot...
- и на таких моделях невозможно в принципе в таких малых дистрибутивах устанавливать проприетарные драйверы оборудования!
И единственное решение для таких моделей - сдать обратно в место приобретения
- решение с mokutil и (пред-)загрузчиком shim решают проблемы SecureBoot в а). Ubuntu 16.04, б). Fedora, в). SUSE ... возможно и некоторых других современных (последних) сборках дистрибутивов;
- но там где этого нет, в старых установочных ISO (предыдущие версии дистрибутивов) и в 1001 малых дистрибутивах-сообществах, проблема Secure Boot не решается...
- в некоторых моделях материнских плат и, особенно, ноутбуков встречаются модели, где невозможно отключить (в SETUP) UEFI и Secure Boot...
- и на таких моделях невозможно в принципе в таких малых дистрибутивах устанавливать проприетарные драйверы оборудования!
И единственное решение для таких моделей - сдать обратно в место приобретения
- Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
- Контактная информация:
Re: Secure Boot
Bumblebee в Fedora 25 устанавливаем nvidia с Secure Boot
- тем пользователям, многим, кто одновременно использует на одном компьютере (HDD) Linux и Windows ... никак не может решиться
- на тех, немногих (пока), моделях компьютеров, где Secure Boot не отключается в стартовых настройках (SETUP).
Но статья не о том, а о том...04.12.2016 в 19:46
Secure boot
Зараза из зараз, в чем суть, почему многие просто отключают его?
Да просто все, это зараза не дает загружать неподписанные модули ядра.
Поэтому нам надо сформировать собственный ключ, вписать его в MOK UEFI и подписывать ключами модули.
Смысл этой статьи:...
У нас есть ключи, надо добавить ключ в UEFI. Страшно, аж жуть.
На самом деле, это делается одной командой. Все уже придумано за нас (информация взята отсюда):ВНИМАНИЕ!!! Команда дважды запросит пароль. Сильно над ним думать не стоит, но запомнить обязательно!Код: Выделить всё
mokutil --import public_key.der
P.S. Вообще то, пробежавшись по разным публикациям нескольких последних лет, я прихожу к подозрению, что Secure Boot необходим (и борьба с ним):суть инструкции в том, чтобы сделать это для систем с UEFI без выключения Secure Boot!
- тем пользователям, многим, кто одновременно использует на одном компьютере (HDD) Linux и Windows ... никак не может решиться
- на тех, немногих (пока), моделях компьютеров, где Secure Boot не отключается в стартовых настройках (SETUP).
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей