LINUX.ORG.RU
ФорумGeneral

Как отключить kernel_lockdown без выключения SecureBoot?

 ,


0

1

Не было хлопот, так накачал апдейтов. После недавнего обновления отвалилась запись в MSR регистры, запись в EC и гибернация. С гибернацией ладно, а вот 2 первых критичны. Причины всего этого безобразия - kernel_lockdown. Он появился еще в ядре 5.4, но до последнего обновления все работало. Подозреваю, что раньше он был отключен, вот и дальше хотелось бы его не включать. Если можно избирательно отключить только часть защиты, то вообще идеально.

openSUSE Tumbleweed, 6.4.9-1-default



Последнее исправление: zb2 (всего исправлений: 1)

Ответ на: комментарий от gluk0zka

Мда, странные какие-то товарищи… Ну ладно MSR и EC еще экзотика, но отвал гибернации затронет заметное количество пользователей.

Чем грозит отключение SecureBoot? Понятно, что можно подменить ядро и модули, но для этого нужен root. Если хацкер получил root, то уже и так все совсем плохо…

zb2
() автор топика
Ответ на: комментарий от master_0K

А с SecureBoot разве нет?

Вставляешь флешку, загружаешься с нее, получаешь полный доступ к системному диску. Можно еще предварительно зайти в uefi и отключить SecureBoot, если хочется чего-нибудь эдакого загрузить с флешки.

Т.е. SecureBoot имеет смысл исключительно если стоит пароль на uefi и выбор загрузочного диска отключен? А ну да, еще системник был залит в бетонный кубик, чтобы было сложно извлечь диск для модификации на другом ПК.

zb2
() автор топика
Ответ на: комментарий от zb2

Системный диск можно зашифровать, а ключом для расшифровки будут служить уникальные для машины регистры tpm, которые, среди прочего могут зависеть от версии и настроек BIOS, командной строки ядра и т.п.

Khnazile ★★★★★
()
Ответ на: комментарий от zb2

Ну он вроде должен помогать против Evil Maid. На десктопе можно забить. Если ноутбук, то часть секурити можно сохранить поставив пароль на UEFI ( можно ещё диск шифрануть или только хомяка, вроде в установщике суси есть такие возможности) . AMI биосы ещё умеют ( не все) ставить пароль на меню выбора устройств. В принципе, если ты не важная шишка, то можешь его вырубать

gluk0zka
()
Ответ на: комментарий от zb2

SecureBoot не позволяет грузить неподписанные ядра/загрузчики. Не то, чтобы мне были случаи когда SecureBoot свою функцию не выполняет…

Сам факт что, «бинарник» подписан для SecureBoot не гарантирует его безопасность. Ключи утекают, сайты вендоров и поставщиков ПО взламывают. Программы и драйверы EFI могут иметь бекдоры, баги.

Можно еще предварительно зайти в uefi и отключить SecureBoot, если хочется чего-нибудь эдакого загрузить с флешки.

Пока «да».

На «биос» рекомендую ставить пароль (тоже не панацея). SecureBoot со слов более погруженных в тему своего рода «джентельменское соглашение», а не «железобетонный вал».

SecureBoot имеет смысл исключительно если стоит пароль на uefi и выбор загрузочного диска отключен?

Думаю «да».

Физический доступ позволяет очень многое, если не всё.

Безопасность достигается системой мер. Но это лучше у профильных спецов спрашивать.

master_0K
()
Ответ на: комментарий от utanho

Да весь линукс куда-то не туда гребёт, и уже довольно давно. Так что на фоне этого куда там подруливает зюзя — особой роли не играет. Популяризация не идёт опенсорцу на пользу, как оказалось.

mord0d ★★★★★
()
Ответ на: комментарий от utanho

но бсди тоже не панацея.

Не могу сказать за все бзди, но фря скатывается медленнее линукса и на ближайшие лет пять точно хватит, а там меня, надеюсь, настигнет деменция и будет уже не до этих ваших кампуктеров. ☺

mord0d ★★★★★
()
General