62

Наш "проблемный" Secure Boot.

Привет всем, особенно любителям котят. Намедни дёрнула меня нелёгкая влезть в холивар Windows vs Linux. Попытка объяснить, что системы не полностью эквивалентны и у каждой есть свои сильные и слабые стороны, естественно, провалилась. И в числе аргументов в споре один из оппонентов написал буквально следующее:

Secure Boot? Нафига оно тебе? Просто чтобы было? Недостатков больше чем достоинств

Вот давайте и поговорим об этом.

Как мы все с вами знаем концепция BIOS давно окончательно себя изжила, так как со времён IBM PC компьютеры замечательно уплыли за горизонты, которые в прошлом веке не снились даже самым мечтательным инженерам. В качестве наглядной демонстрации этого рекомендую прочитать НФ-роман Гаррисона и Мински "Выбор по Тьюрингу". А Марвин Мински, на секундочку, голова. Я бы, как незабвенный Валиадис, пальца бы ему в рот не клал. Так вот, с этим уплытием надо было что-то делать, и решение нашлось. UEFI. И как всегда вместе с новыми возможностями вылезли и новые опасности. Не думаю, что в уважаемой Лиге найдётся хоть один человек который не был бы в курсе о буткитах и руткитах. UEFI в свою очередь, если кто вдруг этого не знал, нас порадовал возможностями грузить в него модули. Например такие безусловно полезные и необходимые как буткиты. Об этом говорили давно и решение, в принципе, было найдено. Secure Boot.

Некоторые горячие головы во времена введения стандарта UEFI 2.2 побежали обвинять кровавый Microsoft в том, что их (sic!) не менее кровавый Secure Boot душит опенсорс в пользу своей ужасной Windows 8. Забавно, что при этом Microsoft требовал от производителей компьютеров, которые хотели чтобы на их поделиях была наклеечка о совместимости с 8, требовали как раз возможность этот самый Secure Boot отключить. Сказки же о том, что этот режим был введён MS, мягко говоря, неосновательны. Достаточно взглянуть на список членов UEFI Forum.

Собственно, о чём речь?  А то три абзаца навалял, а до сути не добрался, да? Идея Secure Boot, если кто не знал, проста до икоты: если в UEFI загружен модуль, то с него надо спрашивать аусвайс, сиречь, цифровую подпись. А то ходють тут всякие. Хохма тут в том, что загрузчик ОС запросто можно рассматривать как модуль UEFI, а сами модули могут взамодействовать с операционкой. Ну, например, сходить в Интернет и что-то в эту операционку загрузить. Secure Boot, как честный вахтёр, спросит у модуля пропуск, и если таковой имеется - пусть ходит, жалко что ли? В общем и целом этот механизм нормально защищает вас от всякой бяки, которая хочет загрузиться до вашей операционки и делать потом с ней всякое. Отлично же?

Как бы не так. У Microsoft всё хорошо. Они участники UEFI Forum и делают свою ОС не только совместимой с этим режимом, а и с расчётом на него. У Apple, хоть они и участники UEFI Forum - дно, ад и Сцилла с Харибдой. Догадайтесь где так себе.

Собственно, там, где вместо соблюдения стандарта им подтираются и делают страшные вещи, чтобы стандарт "не мешал". Так себе в мире Linux. И не потому что система плохая. А потому что соблюдение стандартов вещь добровольная, а смотреть на них в свободном мире желают ой как не все. И поэтому рассчитывать, что в мире Linux не пойми кто не влезет к вам с буткитом, увы, не приходится. Вот тому наглядный пример. На секундочку в самом популярном дистрибутиве! RHEL и CentOS, впрочем, как обычно на высоте.

А почему я это всё написал? Смотрите.

1. В современные компьютеры ставится UEFI, который может что-то грузить в ОС, имея куда больше возможностей чем сама ОС.

2. Так как загрузить модуль в UEFI может практически кто попало, то для этого придумали вахтёра.

3. Если вы пользуетесь FOSS, то вам за вахтёром надо следить самостоятельно на довольно высоком уровне квалификации.

3.1 Всё очень плохо с GRUB и на кой он нужен, когда ядро Linux отлично стартует на UEFI-системах и без него - непонятно.

3.1.1 systemd-boot, хоть и спартанский, является отличным аргументом за systemd

4. В свете вышеперечисленного отключение вахтёра без крайней необходимости выглядит затеей несколько тупой.

5. Если вы не знали, то в дикой природе выловлен первый UEFI-буткит, который, вот умора, не работает при включённом Secure Boot. Да, для Windows. И что? Мы Linux-ботнетов не видели что ли?


Так что, господа, в сей пятничный день желаю вам всех благ, уточек-котяток и безопасной загрузки. Пьющим господам советую не забыть купить минералочку/кефир на утро.

P.S. Знаете почему я ничего не сказал про FreeBSD? Потому что там половина работ по теме в потрясающем состоянии Not started.

Дубликаты не найдены

+5

Так бы подробно про сам UEFI рассказали. Жду такой пост!

раскрыть ветку 5
+4

ТС, присоединяюсь к просьбе. В целом-то понятно, что к чему, но вот почему оно так - непонятно. Я понятно написал?

раскрыть ветку 1
+2

Абсолютно с вами согласен!

0

Присоединяюсь.

0
Комментарий удален. Причина: данный аккаунт был удалён
0
Дело в том, что я сослался на тех, кто тему знает очень глубоко. Я могу разве что их пересказать попроще, но с потерей глубины материала.
+3

У меня почти все планы в таком же состоянии как и работы FreeBSD по теме.

+2

Я вот все пытаюсь осилить принципы работы UEFI\Secure Boot\TPM и Intel ME. Ну т.е. как это все между собой работает, что поддерживает и самое главное зачем оно мне? Если есть годные линки на почитать, то буду благодарен.


Вот возьмем голый ПК, ставим виндоус, активируем Secure Boot и типа мы в безопасности? ну там ничего подписывать, проверять не надо, оно само? Допустим, а ключи где хранятся в TPM? Вот вроде читаешь мол да, должна быть защищенная область памяти... хм, ну и где она у Intel'а?

ещё комментарии
+1

Поправлю про Apple: с тех пор воды прилично утекло, и теперь там все на новых машинах именно с безопасной загрузкой стало намного лучше благодаря чипу T2 и Apple SecureBoot. К сожалению линуксоидов, официально поддерживаются на данный момент только macOS и Windows (про планы на будущее я не могу писать), и для загрузки Linux придется этот самый SecureBoot отключить.

раскрыть ветку 1
0

Оп-па! Спасибо!

+1
А как дела у Unix'ов в целом? А то вы чёртика упомянули, а остальных товарищей как-то обошли. Особенно интересно знать про клозет сорс, тащемта HPUX и Солярку, напимер.
раскрыть ветку 11
+1
Solaris да и Unix ушли в прошлое. Ими никто и не пользуется, ни под сервера, ни под дк. Так что ими не актуально интересоваться)
раскрыть ветку 3
+1
Про Oracle Database вы, наверное и не слышали
раскрыть ветку 2
0
Увы, но я недостаточно компетентен чтобы сказать по ним что-то разумное.
раскрыть ветку 6
+1
Жаль.
А по теме, как говориться, пишите ещё. Познавательно.
раскрыть ветку 1
-1
совместимости с 8, требовали как раз возможность этот самый Secure Boot отключить

И при этом ранее на многих ноутах и планшетах фиг ты секьюр бут отключить мог и поставить линукс (да и ту же 7ку ибо частенько уЕФИ был х86, а 7ка только на х64 ставится), поэтому изначально тот же шим был подписан внезапно! некроосевой подписью, поэтому я пожалуй выберу либо отключаемый и очищаемый секьюр бут и подпишу загрузчики и ядра сам, попутно вычистив хранилище от некросовских ключей (ну или тупо отключу и лишний раз проверю лучше все), либо ефи с модулем csm и буду ставить все что захочу.

раскрыть ветку 3
+1

Угадайте, кто забыл купить минералочку.

0

Минусуйте меня наглухо, но Касперский для UEFI не за горами.

раскрыть ветку 4
0

Вообще-то давно пора

раскрыть ветку 3
-2

Вот мне с дивана видится как "новый велосипед - новый геморрой". Про плюсы новых "биосов" для пользователя знаю, но ускоренный старт имхо того не стоит. А уж поддержка мышки и русификация в UEFI вообще чушь.

раскрыть ветку 2
-1

Что-то про аппле страшного не прочитал, кроме мнения кулхацкеров что все хреново.

раскрыть ветку 4
0
Посмотрите кто эти кулхацкеры такие. Это ультра-профи.
ещё комментарии
-3

Это по-русски написано?

-3
Лень читать, что в итоге? На BSD переходим?
раскрыть ветку 6
+4
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 5
0

Если не Windows, то shim. Вообще никаких проблем.

раскрыть ветку 2
0

опция  custom key?

раскрыть ветку 1
-5

Мне интересно как стим универсалкой станет.

ещё комментарий
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: