LINUX.ORG.RU

secure boot - ложная безопасность?

 , ,


0

1

Тут утверждается, что grub не проверяет подпись initramfs. То бишь любой может просто смонтировать /boot, подменить там initramfs на такой, который запоминает введённый пароль помимо расшифровки диска, и таким образом пароль утечёт.

По-моему вектор атаки абсолютно очевиден, предотвратить его было бы абсолютно просто, если бы grub изначально проверял подпись (сейчас-то уже ничего не сделаешь, даже если grub пропатчить, никто не мешает вернуть старую непропатченную, но подписанную версию).

Выходит, что маздай безопасней линукса в этом аспекте? Диверсия?

★★★★★
Ответ на: комментарий от anonymous

А разве нельзя программно перешить BIOS пока ты смотришь новости в своем браузере

Нет. У своего браузера нет рутового доступа чтобы что-то прошить.

и чатишься в телеграмме?

Так тебе безопасность или использовать всякий кал? Запускай телеграмы и прочие вацапы в виртуалке.

Не надежнее уж и вовсе отказаться от X86

Недёжнее. Но безопасность не в железе, она в головах. Если тебе важнее «чатиться в телеграме» то вряд-ли тебя хоть как-то заботит безопасность.

Stanson ★★★★★
()
Ответ на: комментарий от anonymous

Без блобов контроллера памяти?

Они только с SandyBridge начали требоваться, ЕМНИП. Не используй железки с SandyBridge и новее, только и всего.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Нет. У своего браузера нет рутового доступа чтобы что-то прошить.

И Spectre нет?

и чатишься в телеграмме? Так тебе безопасность или использовать всякий кал? Запускай телеграмы и прочие вацапы в виртуалке.

Так в виртуалке и запускал, но пока не использовал

lockdown=confidentiality randomize_kstack_offset=on

Телеграм мне регулярно завешивал комп, отжирал оперативку и творил другие непотребности. И вероятно кто-то перешивал BIOS, потому что для перезагрузки мне приходилось заново его прошивать из DOS, иначе Linux ядро хоста на следующем ребуте тупо не стартовало, а висло при загрузке модулей. Причем зависело от версии ядра, проверял на LiveCD с разными версиями.

Недёжнее. Но безопасность не в железе, она в головах. Если тебе важнее «чатиться в телеграме» то вряд-ли тебя хоть как-то заботит безопасность.

Поразительный вывод. Просто телеграм вероятно надо использовать на отдельной железяке, потому что кондомы типа KVM совсем не помогают. Прорваться сквозь изоляцию KVM на X86 не так уж трудно последнее время, судя по гуглингу. Так что без разницы запустишь ты его под рутом на своем любимом ноуте или под guest_nouser и KVM, который сам запущен под host_nouser.

Только воздушная изоляция поможет отцам русской демократии.

anonymous
()
Ответ на: комментарий от Stanson

Недёжнее. Но безопасность не в железе, она в головах.

А что скажешь про загрузку с PXE/TFPT сервера, запущенного на древнючей шарманке типа i486/i586 с CDROM того же года выпуска? Какой-нибудь древний OpenBSD например в качестве бутсервера?

Какие подводные камни? Блобы с прошивках сетевух загружаемых хостов? Подделка сетевых пакетов, что может помешать загрузиться с правильного хоста? Но ведь можно отфильтровать по MAC адресу и грузиться не по DHCP с любого, а по конкретному MAC адресу TFTP сервера?

anonymous
()
Ответ на: комментарий от anonymous

Не лучше ли вот все эти ваши signed secure boot файлы хранить на CDROM болванке, «в трее замазанном эпоксидкой» или типа того?

anonymous
()
Ответ на: комментарий от anonymous

Причем сам PXE сервер можно выполнить в виде LiveCD, записанном на ту же самую одноразовую болванку.

Т.е. чтобы PXE сервер грузился с readonly LiveCD и раздавал readonly образы нужных ядер с той же самой readonly болванки.

anonymous
()
Ответ на: комментарий от anonymous

И Spectre нет?

И чем может помочь Spectre, даже если он есть? Лет через 500 прочесть таки один байт из /etc/shadow ?

Телеграм мне регулярно завешивал комп, отжирал оперативку и творил другие непотребности.

Мыши плакали, кололись, но, сцуко, продолжали жрать кактус.

Просто телеграм вероятно надо использовать

А мысль вообще не использовать это говно в голову не приходила?

Stanson ★★★★★
()
Ответ на: комментарий от anonymous

Зачем весь этот геморрой, если можно просто взять SBC на Allwinner A10/A20 и запускать на нём всё что нужно? Или старый x86 типа Core2Duo на материнке поддерживаемой coreboot без блобов, если уж x86 очень хочется.

Stanson ★★★★★
()
Ответ на: комментарий от slapin

можно потратить 200мб оперативки и пару процентов проца, что бы перекинуть все ресурсы в виртуалку. Собрать под это отдельную лайт сборку в грубе. Будет тот же дуалбут с виндой, только через KVM и со своими сертификатами

SR_team ★★★★★
()
Ответ на: комментарий от Stanson

Зачем весь этот геморрой, если можно просто взять SBC на Allwinner A10/A20 и запускать на нём всё что нужно?

Что полезного для десктопа ты запустишь на одноплатниках?

IMHO OpenBSD Xenocara X11 на управляющем хосте и Alpine/Devuan + Ignite + Firecracker на остальных, и потом цепляться к ним по ssh -X gui_soft?

Но как гарантировать немодификацию их файловых систем на microSD карточках? Грузить все одноплатники по PXE с болванки CDROM на 30 летнем пеньке? Карточки можно вообще не использовать. Использовать только раздачу NFS/iSCSI с отдельного ZFS сервера, который сам тоже на одноплатнике с SATA разъемом + SATA хабом на несколько дисков?

Бывают ли одноплатники, которые могут стартануть с древнего IDE CDROM? Вероятно нет, от силы SATA с переусложненным EFI и т.п., зачем все это когда можно поднять PXE на OpenBSD на пеньке с CDROM.

Или старый x86 типа Core2Duo на материнке поддерживаемой coreboot без блобов, если уж x86 очень хочется.

И сколько там всего перешиваемого в той же к примеру Gigabyte G41M ? Пока работает комп ее перешьют вдоль и поперек, включая контроллеры?

IMHO схема такая:

  1. OpenBSD PXE сервер на древнем пеньке с readonly LiveCD - источник траста и загрузчик для всех остальных хостов. Он же NFS и iSCSI сервер для безопасного проксирования файловых систем со следующего сервера ZFS хранилища.

  2. ARM одноплатник с SATA разъемом + SATA хабом, на нем Alpine или NetBSD в качестве ZFS storage для корневых файловых систем остальных хостов, снэпшоты для отслеживания изменений. Его блоки сначала идут например по iSCSI на OpenBSD и оттуда безопасно раздаются остальным хостам ибо доверия линупсу в качестве сетевого сервиса особо нет, дай Бог ему обеспечить ZFS хранилку.

  3. Одноплатник для рабочей станции, что-то типа Beaglebone Black, на нем OpenBSD, загрузка по PXE, корень и остальные файловые системы на ZFS хранилке. Что-то наверно можно хранить и локально на microSD карточке.

  4. Остальные одноплатники образуют некий кластер для запуска GUI программ: всяких телеграм, skype, браузеров и т.п. На них K3S + Kata + Firecracker либо Ignite + Firecracker для запуска контейнеров или копий контейнеров, внутри каждого из которых SSHD + гуишные проги.

На всех одноплатниках надо снять паяльным феном лишние беспроводные чипы.

anonymous
()
Ответ на: комментарий от Stanson

А мысль вообще не использовать это говно в голову не приходила?

Так он нужен не для персонального общения, а для чатиков, общения с community и т.п. Как ты предлагаешь его заменить и на что? Заставить всех перейти в Jabber, потому что тебе так захотелось?

anonymous
()
Ответ на: комментарий от anonymous

Остальные одноплатники образуют некий кластер для запуска GUI программ: всяких телеграм, skype, браузеров и т.п. На них K3S + Kata + Firecracker либо Ignite + Firecracker для запуска контейнеров или копий контейнеров, внутри каждого из которых SSHD + гуишные проги.

https://github.com/weaveworks/ignite

Безопасна ли systemd? (комментарий)

Безопасна ли systemd? (комментарий)

anonymous
()
Ответ на: комментарий от anonymous

Что полезного для десктопа ты запустишь на одноплатниках?

Что угодно.

Пока работает комп ее перешьют вдоль и поперек, включая контроллеры?

Конечно перешьют, если запускать

телеграм, skype, браузеров и т.п.

Ну вот зачем запускать телеграмы со скайпами, и левые браузеры если переживаешь за безопасность? Либо телеграм, либо безопасность. Используешь телеграм - забудь о безопасности. Хочешь безопасности - не используй телеграм. Это же так просто.

Используй, например, жаббер, tox и NetSurf и волосы будут мягкими и шелковистыми.

Stanson ★★★★★
()
Ответ на: комментарий от anonymous

Например, рабочая станция грузится так:

Beaglebone Black -> PXE -> Ethernet -> OpenBSD TFTP -> LiveCD.

Beaglebone Black -> NFS/iSCSI -> Ethernet -> OpenBSD iSCSI Target & client -> Ethernet -> Alpine ZFS на одноплатнике с SATA.

anonymous
()
Ответ на: комментарий от anonymous

Заставить всех перейти в Jabber, потому что тебе так захотелось?

Ну так реши уже наконец, что для тебя важнее, безопасность или социальный конформизм? Если ты важен для твоего community, то community без проблем переедет на жаббер, чтобы не рисковать твоей безопасностью. Если ты для community настоклько не важен, что им насрать на твою безопасность, то нафиг такое community, с таким community никакой безопасности быть не может, они же тебя и сдадут если что, при первой же возможности, даже если у тебя будет сверхбезопасный комп.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Ну так реши уже наконец, что для тебя важнее, безопасность или социальный конформизм?

Вероятно на рабочей станции нужна безопасность, а на отдельном аппаратном хосте социальный конформизм, так нормально?

Если ты важен для твоего community, то community без проблем переедет на жаббер, чтобы не рисковать твоей безопасностью.

Зачем им это, когда для Телеграмма можно использовать отдельные небезопасные железяки?

Если ты для community настоклько не важен, что им насрать на твою безопасность, то нафиг такое community, с таким community никакой безопасности быть не может, они же тебя и сдадут если что, при первой же возможности, даже если у тебя будет сверхбезопасный комп.

Так я не занимаюсь чем-то таким, из-за чего меня можно было бы кому-то сдать. В телеграмме мне нечего скрывать из того, что я пишу.

А на рабочей станции хотелось бы скрыть как минимум персональную инфу и свои сорцы, обеспечить целостность файлов и т.п.

anonymous
()
Ответ на: комментарий от anonymous

Смотреть на опасный телеграм на опасном хосте с безопасного компа через VNC безопасно?

Workstation on BBB -> VNC -> Ethernet -> Other host with Telegram in TigerVNC session.

anonymous
()
Ответ на: комментарий от anonymous

Так я не занимаюсь чем-то таким, из-за чего меня можно было бы кому-то сдать. В телеграмме мне нечего скрывать из того, что я пишу.

Тогда ты не представляешь никакого интереса для тех, кто мог бы тебе что-то там удалённо перешить.

А на рабочей станции хотелось бы скрыть как минимум персональную инфу и свои сорцы, обеспечить целостность файлов и т.п.

Для этого более чем достаточно просто запускать твой телеграм из-под firejail. Он просто не увидит никаких твоих файлов даже если очень захочет, потому что будет работать с виртуальным хомяком.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Кстати хотел уточнить про Macintosh, которые на базе PowerPC, у них с перешиванием тоже все плохо, как и на X86?

Нет ли PowerPC с неперешиваемыми BIOS и контроллерами, чтобы либо ПЗУ либо хотя бы механнический переключатель для возможности менять содержимое ППЗУ?

anonymous
()
Ответ на: комментарий от Stanson

Для SandyBridge в coreboot есть опенсорсный Native Raminit, это не то?

anonymous
()
Ответ на: комментарий от Stanson

Конечно перешьют, если запускать телеграм

А почему конечно? Разве телеграм не open source?

anonymous
()
Ответ на: комментарий от Stanson

Для этого более чем достаточно просто запускать твой телеграм из-под firejail. Он просто не увидит никаких твоих файлов даже если очень захочет, потому что будет работать с виртуальным хомяком.

Сквозь QEMU-KVM пролезет, а через firejail нет?

Уж не лучше ли запускать его в Ignite Firecracker?

anonymous
()
Ответ на: комментарий от anonymous

А разве нельзя программно перешить BIOS

Intel Boot Guard включить и публичный ключ свой прописать, включается только раз и ключ записывается в ROM без физической возможности изменения публичного ключа и отключения верификации.

BIOS/UEFI и все настройки с ключами Secure Boot аппаратно верифицируются публичным ключом Intel Boot Gurd.

anonymous
()

Ждём когда отзовут ключи у дырявого GRUB. Он для UEFI нет так уж и нужен, можно загрузить ядро напрямую.

X512 ★★★★★
()
Ответ на: комментарий от anonymous

Кстати хотел уточнить про Macintosh, которые на базе PowerPC, у них с перешиванием тоже все плохо, как и на X86?

Нет ли PowerPC с неперешиваемыми BIOS и контроллерами, чтобы либо ПЗУ либо хотя бы механнический переключатель для возможности менять содержимое ППЗУ?

Тема эта всплывает здесь часто. Проблема именно в производителях мамок. Говорят, что если 1 дорожку SPI Flash заземлить то запись на нее становится физически невозможна. Реализовано только на мамках с хромебука.

anonymous
()
Ответ на: комментарий от X512

Незыблемые правила Integrity.

Ключи:

  1. Intel Boot Guard.
  2. Secure Boot.
  3. GRUB2.
  4. IMA/EVM.
  5. Linux Kernel Module Signing Key.

A. должны создаваться пользователем компа.

B. в рабочей системе должен быть только публичный ключ для верификации.

C. Все что исполняется, а также не изменяемые структуры должны верифицироваться с помощью публичного ключа.

Все кто скажет другое, и упомянет shim с подписью M$, - еретики которых надо сжигать вместе с разрабами сыстемдЫ.

anonymous
()
Ответ на: комментарий от anonymous

Говорят, что если 1 дорожку SPI Flash заземлить то запись на нее становится физически невозможна.

А попроще что-нибудь, если в помещении нет настоящей земли.

Просто на общий проводник соединить или через резюк или еще как-то. Или откусить какие-то ноги или еще чего-то ? :) Неужели ничего не предумали до сих пор? Пора бы уже сделать совместимые аналоги, чтобы можно было заменить SPI чип на свой ПЗУ, который создается копированием содержимого? Т.е. выпаиваем штатный SPI копируем содержимое в чип с одноразовой записью и впаиваем обратно уже колодку для нового readonly чипа, неужели такого нет?

anonymous
()
Ответ на: Незыблемые правила Integrity. от anonymous

Незыблемые правила Integrity. Ключи: Intel Boot Guard. Secure Boot.

Чем PXE boot с readonly болванки LiveCD на древнем ноуте хуже?

GRUB2. В нем буткиты от АНБ.

Linux Kernel Module Signing Key. Может быть просто собрать ядро без подгружаемых модулей и выкинуть все лишние?

Как контролировать целостность файловой системы кроме как через apt debsums постфактум, но ведь надо еще аутентичную базу и запускать снаружи из chroot с аутентичными своими копиями бинарей debsums, bash, etc.?

Т.е. при проверке chroot только для удобного пути, а все остальные тулзы должны быть предоставлены снаружи через mount –bind с надежного LiveCD?

А как все это делать online, а лучше бы и вовсе блокировать попытки записи. MAC SELinux/AppArmor? Но ведь верификация чексумм все равно не лишняя? Особенно желательно online во время запуска?

anonymous
()
Ответ на: комментарий от anonymous

и впаиваем обратно уже колодку для нового readonly чипа, неужели такого нет?

А куда девать CMOS :)

anonymous
()

Казалось бы, причем тут secureboot. Тред не читал

vasily_pupkin ★★★★★
()

не проверяет подпись grub, а виноват secure boot - это какая-то шиза?

Secure boot гарантирует загрузку правильно подписанного загрузчика. Дальше его полномочия всё. Ранее, до введения secure boot можно было грузить любую фигню и подменять ее как душе угодно - то есть защиты не было в принципе.

Ну и да, во-первых, grub - не единственный загрузчик, а во-вторых, на случай тотальной паранойи есть integrated initramfs. Да, это менее удобно, ну так безопасность = 1/удобство, а как ты хотел?

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Secure Boot основывается на том, что подписи не выдаются кому попало. Выходит, что grub это тот самый кто попало, кому выдали подпись. Так что да, виноват Secure Boot. У grub надо отозвать подпись, пока они не исправят свои баги, чтобы неподписанный initramfs не передавался ядру.

Если я не хочу безопасность и хочу удобство, я просто отключаю secure boot (disclaimer: лично у себя я в итоге так и сделал).

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Legioner

Secure Boot основывается на том, что подписи не выдаются кому попало.

Если у тебя железка с Secure Boot, где нельзя загрузить свои ключи, а прошито только вендорское говно, то это не безопасность - а говно собачье. Ключи должны быть своими. А если такое не возможно - то лучше даже не начинать.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Всё с точностью до наоборот. Ключи должны быть вендорскими. Потому, что ни один адекватный пользователь кроме самых фричайших из фриков не будет никакие ключи загружать. Если безопасность не работает из коробки, значит безопасности нет.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Legioner

Всё с точностью до наоборот. Ключи должны быть вендорскими.

Вкупе с невозможностью ставить свои ключи это называется vendor lock-in.

За такое лет 10 назад на ЛОРе тебя бы погнали тряпками, смоченными в чём-то плохо пахнущем :-/

Но видимо пластмассовый мир победил...

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Вкупе с невозможностью ставить свои ключи это называется vendor lock-in.

Я ничего не имею против возможности ставить свои ключи. Просто эта возможность мало кому нужна. Думаю, гигантам вроде Google, это может быть интересно, не более.

А учитывая, что MS подписывает всякие shim-ы, локином это назвать язык не поворачивается.

Но видимо пластмассовый мир победил…

Используете ли вы Secure Boot на своих компьютерах? если подтвердят, проверишь, кто победил.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Legioner

А учитывая, что MS подписывает всякие shim-ы, локином это назвать язык не поворачивается.

Сегодня подписывает, а завтра нет.

anonymous
()
Ответ на: комментарий от Legioner

Если я не хочу безопасность и хочу удобство, я просто отключаю secure boot (disclaimer: лично у себя я в итоге так и сделал).

Надеюсь ещё и LUKS выкинул на мороз?

anonymous
()
Ответ на: комментарий от anonymous

Зачем? LUKS обеспечивает реальную безопасность и при этом нисколько не мешает удобству использования.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Pinkbyte

Ранее, до введения secure boot можно было грузить любую фигню и подменять ее как душе угодно - то есть защиты не было в принципе.

Так никто и не ответил.

Чем загрузка по PXE с первого пенька с OpenBSD+CDROM хуже secure boot, при условии, что пенек замурован от замены болванки и кроме CDROM в нем нет никаких запоминающих устройств (даже readonly) кроме собственно маленького бивиса?

anonymous
()
Ответ на: комментарий от anonymous

Если уж на то пошло, как щас помню, в 1994 году в сети NetWare были персоналки i286 с 1Mb RAM и сервера i386 с 8Мб RAM.

Признавайтесь, какой самый древний и в то же время безопасный LiveCD можно на них запусить? Наверно тот же самый самоделешный OpenBSD типа FuguIta ?

http://fuguita.org/

Взять опенка самых древних версий 2x, 3x, etc. Поднять на нем PXE для раздачи современных ядер для остальных одноплатников, у которых readonly BootROM ?

anonymous
()
Ответ на: комментарий от anonymous

А у меня других опасностей нет. Я не сноуден, мне АНБ в клавиатуру жучка подсаживать не будет, а если КНБ заинтересуются, они мне просто зубы напильником будут пилить, пока я всё не скажу, что нужно. А вот какой-нибудь уродец стырить ноут из машины вполне может. Не то, чтобы там какие-то очень уж ценные файлы были, но всё равно спокойней будет спать, зная, что к ним доступ никто не получит.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от anonymous

замурован от замены болванки

Так при условии отсутствия физического доступа к потрохам системного блока Secure Boot понятное дело не нужен

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Так при условии отсутствия физического доступа к потрохам системного блока Secure Boot понятное дело не нужен

Вот уж не скажи, про буткиты слыхал? Они и бивис могут подшить и фирмвари различных плат расширения и контроллеров и при этом даже не положат тебе на стол отчет о проделанных действиях.

anonymous
()
Ответ на: комментарий от anonymous

А буткиты разве не могут заменить собой secure boot?

Ядро secure boot находится в неперепрошиваемом ПЗУ?

anonymous
()
Ответ на: комментарий от Legioner

А у меня других опасностей нет. Я не сноуден, мне АНБ в клавиатуру жучка подсаживать не будет

Пипец, где вы таких мультов обсмотрелись, даже у национальных отделов К есть электромагнитные сканеры, считывающие монитор и клаву дистанционно с улицы еще в конце прошлого века, а то и вовсе доступ к буткитам. Сейчас наверно уже можно мониторить вас с дрона, если не со спутника …

Жучки - это из фильмов для чукотских наивных юношей о чукотских кацкерах.

anonymous
()
Ответ на: комментарий от Pinkbyte

Секуребут нужен что бы буткиты не лепили. Это в первую очередь. Конечно, в плане практической реализации все плохо, в особенности из-за «Просто эта возможность мало кому нужна» и частых ошибок из-за которых можно прошить SPI прям из ОС всё это как-то не очень реально

vasily_pupkin ★★★★★
()
Ответ на: комментарий от Legioner

Я ничего не имею против возможности ставить свои ключи. Просто эта возможность мало кому нужна. Думаю, гигантам вроде Google, это может быть интересно, не более.

Зачем тебе вообще тогда секуребут?

vasily_pupkin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.