LINUX.ORG.RU

Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot

 ,


0

0

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Кроме патчей для запрета kexec и hibernation при загрузке в режиме UEFI Secure Boot, Мэтью Гаррет опубликовал набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities — «CAP_COMPROMISE_KERNEL», предназначенный для выборочного предоставления привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot, но и в других ситуациях, требующих ограничения доступа к ядру.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)

Ответ на: комментарий от Anonymous

Адвокаты МС докажут, что основным назначением компьютеров без SecureBoot является запуск пиратской винды и, следовательно, производство и продажа таких компьютеров - соучастие и попустительство.

А Трольвальдс с факом? Прийдёт и покарает своим факом Дарта Балмера. Хотя более созвучно PROMTтовскому переводу сценария адалт-фильма... а может - так оно и будет? :)

nekosargot ★★★
()

не слабо лор-быдлу попку припекло. проще забанить и дальше исходить на говно, чем привести аргументы(которых нет, ага) //parrot

anonymous
()
Ответ на: комментарий от wintrolls

Твой ник объясняет цель твоего поста. А почти всем остальным пофиг до федеропроблем и проблем виндузятников с железом Win8 Compatible

partyzan ★★★
()
Ответ на: комментарий от sv75

Это где в РФ такой закон?????

п.1 ст. 18 Закона Российской Федерации «О защите прав потребителей» (статья):

В отношении технически сложного товара потребитель в случае обнаружения в нем недостатков вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за такой товар суммы либо предъявить требование о его замене на товар этой же марки (модели, артикула) или на такой же товар другой марки (модели, артикула) с соответствующим перерасчетом покупной цены в течение пятнадцати дней со дня передачи потребителю такого товара.

Очень советую перед покупкой проверить продавцов/менеджеров на предмет понимания этого закона и знания списка технически сложного товара (ссылка на список есть в тексте статьи) а то есть ненулевая вероятность что в мухосранске об этом могут и не знать. Перед покупкой просто спросите что знаете ли вы закон о том что если девайс/комплектующие не подойдут мне то я могу вернуть его. Менеджеры сетей магазинов федерального масштаба как правило в курсе чего нельзя сказать про частную контору. Не снимайте стикеры, не теряйте упаковки и наклейки, не портите товарный вид. Я комплектующие возвращал - закон работает. И материнку/компьютер/ноутбук с неотключаемым Secure Boot верну если попадется так как есть недостаток: я не смогу установить на него нужную мне программу (операционную систему GNU/Linux).

Тег: UEFI и безграмотность (незнание законов) потребителя

PS: Думаю видео на youtube об этом можен набрать немало просмотров.

anonymous
()

ОС без гибернации это не ОС.

И после этого они говорят Линукс для ученых, а не для игры итд. Да как же можно в домашних условиях вести какойто расчет??? Как если надо приостановить процесс? Сраный суспенд потеряет данные как только закончится ток в бесперебойнике! Это же просто жопа, пилят и добавляют в ядро всякий мусор, в место того, чтобы сделать нормально те вещи которые уже наверное 100 лет нормально работают на других ОС.

LinuxDebian ★★★★
()
Ответ на: комментарий от sv75

Вряд ли SB — недостаток.

В данном случае следует доказывать, что это - недостаток. Невозможность использовать спящий режим на компьютере без Windows вполне сойдет.

Polugnom ★★★★★
()

верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux

Аж не как нельзя посмотреть как это реализовано у ребят и впихнуть в ядро...

LinuxDebian ★★★★
()

ей богу это ваше uefi — какая-то диверсия.

anonymous
()
Ответ на: комментарий от sv75

Продавец должен предоставить информацию о товаре полностью. Если обнаруживается существенный недостаток в товаре, который мешает пользоваться им, тогда продавец обязан либо заменить, либо деньги вернуть, либо заменить на другой товар с разницой в цене.

Quasar ★★★★★
()
Ответ на: комментарий от Anonymous

Anonymous

Адвокаты МС докажут, что основным назначением компьютеров без SecureBoot является запуск пиратской винды и, следовательно, производство и продажа таких компьютеров - соучастие и попустительство.

Ну бред же сказал. МС проще будет сделать чтобы венда не работала без секурбута, а не пропихивать законы бредовые.

Loki13 ★★★★★
()
Ответ на: комментарий от goingUp

Правильная, это такая, что андроид «порутить» нельзя будет даже через дыру в ПО? Это ж получится отличная тивоизация.

для сферической безопасности лучше, а вот для пользователя хуже. если бы не дыры через которые андроид рутуют производители давно бы уже все огородили по самое не балуй. сейчас имхо их останавливает, что все равно порутуют, а репутация подпорчена.

Loki13 ★★★★★
()
Ответ на: комментарий от IPR

А потом кто-то что-то говорит о плохой поддержке этого режима во фреебзд.

А что во «фреебзд» по-другому?

Kroz ★★★★★
()
Ответ на: комментарий от Kroz

я тебе скажу как в openbsd-надо создать огромный фат-раздел, обязательно в начале жесткого диска. и тогда, может быть, он заработает. suspend не заработает всё равно.

но всё равно openbsd лампов

pawnhearts ★★★★★
()
Ответ на: комментарий от user_id_68054

Fedora выбрала вариант 3 так как уважает желание пользователя

Перешли на личности дистрибутивы?
Имеем две независимые функции:
1) SecureBoot
2) Hybernate
Раз уж Fedora некий дистрибутив уважает желания пользователя, так должны дать свободу пользователю выбирать чем ему пользоваться, а чем нет.

Kroz ★★★★★
()
Ответ на: комментарий от Kroz

These patches break functionality that people rely on without providing any functional equivalent, so I'm not suggesting that they be merged as-is. kexec allows trivial circumvention of the trust model (it's trivially equivalent to permitting module loading, for instance) and hibernation allows similar attacks (disable swap, write a pre-formed resume image to swap, reboot). The hibernation patch also shows up a different issue - some userspace drops all capabilities, resulting in things that userspace expects to work no longer working. This seems like an unsurprising result, but breaking userspace is bad and so it'd be nice to figure out if there's another way to handle this.

https://lkml.org/lkml/2013/1/28/423

Пока люди занимаются серьезной разработкой, лоровцы обсуждают желтушные новости. Так и живем.

alpha ★★★★★
()
Ответ на: комментарий от alpha

Кстати сказать Мэтью Гаррет - один из самых грамотных и уважаемых разработчиков ядра, который тащит на себе большую часть реализации UEFI в Линуксах. При этом всегда ведет себя корректно и разумно, часто обсуждает и обосновывает свои идеи перед сообществом. И сейчас видно по процитированному выше тексту, что человек пришел обсудить разработку с квалифицированными людьми.

Делать из этого желтушную новость и вот так стадно, отключив мозг, её обсуждать, вообще-то позорно.

alpha ★★★★★
()
Ответ на: комментарий от Polugnom

SB - это не недостаток, это фича, с точки зрения ЗЗПП

тут лучше ссылаться на статью 25, которая позволяет в течение 2 недель обменять (а если подходящей замены нет - вернуть деньги) что угодно по желанию левой пятки, причину выбираете любую из списка в статье

(бывший торгаш)

MyTrooName ★★★★★
()

Нужны ещё патчи. Отключающие звук при загрузке с UEFI Secure Boot, отключающие композит при загрузке с UEFI Secure Boot…

Deleted
()
Ответ на: комментарий от Deleted

Нужны ещё патчи.

те, которые исправляют старые баги ядра, но ломают флешь и КДЕ

Bad_ptr ★★★★★
()
Ответ на: комментарий от Kroz

А что во «фреебзд» по-другому?

Тоже всё плохо.

IPR ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Что-то мне подсказывает, что у нас это за недостаток не сойдёт и в законе говорится о неисправностях или дефектах конструкции.

Я сейчас с ходу не найду - давно это было, но тем не менее скажу что в свое время этим вопросом очень плотно занимался и накопал очень грамотное объяснение в сети с блоксхемами и комментариями юриста. Из того объяснения я понял тот факт что категория «технически сложные устройства» введена потому что если вдруг пользователь столкнеться с несовестимостью или невозможностью использования товара - он мог вернуть товар оборатно (но лишь в течение 2х недель). Поищите документ тщательнее (напомню что там была обширная блок схема и много примеров из реальной жизни).

Теперь о своем недавнем опыте: я купил комплектующие, которые оказались несовместимы с моим ПК (компьютер не стартовал с ним). Я его вернул и забрал деньги (но сам девайс исправен). Второй случай (неск. недель назад но с моим товарищем) он wi-fi роутер но некоторых функции он не нашел. Он вернул девайс и забла деньги (при мне). А если у вас недостаток (который на самом деле является дефектом) то тут сложность устройства вовсе не играет роли и у вас любой товар примут. Это тонкий момент и, конечно же, нечистый на руку продавец постарается вас переубедить если почувствует вашу неуверенность.

anonymous
()

поддержку ядрен модулей надеюсь для таких платформ тоже будут отключать?

exception13 ★★★★★
()
Ответ на: комментарий от MyTrooName

тут лучше ссылаться на статью 25, которая позволяет в течение 2 недель обменять (а если подходящей замены нет - вернуть деньги) что угодно по желанию левой пятки, причину выбираете любую из списка в статье

Да, точно. Не 18-ая статья. Ошибочно указал:

Основания для обмена установлены весьма широкие: товар не подошел по форме, габаритам, фасону, расцветке, размеру либо по иным причинам не может быть использован потребителем. Такой безграничный перечень делает практически нереальной возможность отказа в обмене в связи с отсутствием основания для этого.

Теперь все встало на свои места. Благодарю.

anonymous
()

Я предлагаю написать патч, который будет уничтожать компьютер при загрузке с UEFI Secure Boot. Мы не можем гарантировать сохранение цепочки доверия - вдруг компьютер включил один человек, и пошёл готовить чай, а с кухни вернулся другой?

Xellos ★★★★★
()
Ответ на: комментарий от MyTrooName

Ст. 25 не катит


Утвержден
Постановлением Правительства
Российской Федерации
от 19 января 1998 г. N 55


ПЕРЕЧЕНЬ
НЕПРОДОВОЛЬСТВЕННЫХ ТОВАРОВ НАДЛЕЖАЩЕГО КАЧЕСТВА,
НЕ ПОДЛЕЖАЩИХ ВОЗВРАТУ ИЛИ ОБМЕНУ НА АНАЛОГИЧНЫЙ
ТОВАР ДРУГИХ РАЗМЕРА, ФОРМЫ, ГАБАРИТА, ФАСОНА,
РАСЦВЕТКИ ИЛИ КОМПЛЕКТАЦИИ
.......................................
11. Технически сложные товары бытового назначения, на которые установлены гарантийные сроки (станки металлорежущие и деревообрабатывающие бытовые; электробытовые машины и приборы; бытовая радиоэлектронная аппаратура; бытовая вычислительная и множительная техника; фото- и киноаппаратура; телефонные аппараты и факсимильная аппаратура; электромузыкальные инструменты; игрушки электронные, бытовое газовое оборудование и устройства)

Polugnom ★★★★★
()
Ответ на: комментарий от anonymous_incognito

По закону:

недостаток товара (работы, услуги) - несоответствие товара (работы, услуги) или обязательным требованиям, предусмотренным законом либо в установленном им порядке, или условиям договора (при их отсутствии или неполноте условий обычно предъявляемым требованиям), или целям, для которых товар (работа, услуга) такого рода обычно используется, или целям, о которых продавец (исполнитель) был поставлен в известность потребителем при заключении договора, или образцу и (или) описанию при продаже товара по образцу и (или) по описанию;

Неработающий спящий режим вполне может подойти, если продавец заранее вас не предупредил об этом (в письменном виде, разумеется).

Polugnom ★★★★★
()
Ответ на: комментарий от Polugnom

Продавец сошлётся на то, что официально изделие предназначено для работы в Windows 8, наверняка об этом есть указания. И что в какой-то федоре оно не работает или не так работает это не его продавца проблемы. И в общем-то будет прав, мало ли в мире ОС и прочего софта.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous

Да, нормальные фирмы вообще-то дают манибек на две недели. Спасибо, что подробно осветил, что его по-хорошему должны давать и не очень нормальные. Но именно как претензия ссылка на SB и Fedora не пройдёт.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

фициально изделие предназначено для работы в Windows 8,

Если прям вот так и будет написано, то, конечно, уже ничего не поделаешь.

Polugnom ★★★★★
()
Ответ на: комментарий от user_id_68054

Пошли на поводу у M$, а теперь должны переделывать ядро и т.д. под их запросы. В этот то и проблемы, а не в Васях Пупкиных.

p.s.И вообще, зачем такие гневные высеры? ;)

bohm ★★★★★
()
Ответ на: комментарий от nekosargot

Прийдёт и покарает своим факом Дарта Балмера.

Боюсь тут фистингом не обойтись.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от anonymous_incognito

Менибэк все равно идет за счет продавца. Не купишь ты - купит другой, который и не знает что такое операционная система. А нужно нагибать производителя. Чтобы возврат оплачивал непосредственно он.

DNA_Seq ★★☆☆☆
()

Казалось бы, вроде всё логично. Но вообще ничего страшного, что сейчас взломать таким образом можно любой компьютер без UEFI и Secure Boot?

cruxish ★★★★
()
Последнее исправление: cruxish (всего исправлений: 1)
Ответ на: комментарий от Kroz

Не понял. А что без UEFI Secure Boot такой проблемы не было? С dual-boot'ом?

Была, конечно. О ней и речь.

Фишка в том, что Secure Boot, в соответствии с названием, должен обеспечивать безопасную загрузку, т.е. удостовериться, что компоненты ОС не были изменены. В случае начальной загрузки это уже сделано в Fedora, а вот в случае с hibernate это сделать не так просто. Собственно, поэтому, гибернацию и отключили.

cruxish ★★★★
()
Последнее исправление: cruxish (всего исправлений: 1)
Ответ на: комментарий от bhfq

Пусть этот наркоман делает новые «фичи» отключаемыми.

Мне что-то подсказывает, что ты в теме вообще не разобрался.

cruxish ★★★★
()
Ответ на: комментарий от Quasar

Спасибо мелкософту и пропихивателям анального UEFI за это! Вот он - двигатель регресса!

Вот только в мелкософте хибернейт уже более 10 лет нормально работает, в отличие от линукса, где выход из хибернейта сравним с русской рулеткой.

wintrolls ☆☆
()
Ответ на: комментарий от true_admin

Имхо кроме граблей для линуксоидов создатели других целей и не преследовали.

Создатели о линуксоидах и не думали. Вся эта члень нужна для того, чтобы восьмёрочку не взламывали через подмену загрузчика.

cruxish ★★★★
()
Ответ на: комментарий от AVL2

Это еще что. В 2000 венде в свое время отключили поддержку входа без пароля!

И правильно сделали. У меня и в XP беспарольный вход отключён.

wintrolls ☆☆
()
Ответ на: комментарий от Quasar

Потому, что SecureBoot мелкософт всё равно хочет сделать неотключаемым. Это под давлением общественности и только на x86 он отключаем.

Я бы сказал, что он не отключаем только на ARM.

cruxish ★★★★
()
Ответ на: комментарий от cruxish

Вся эта члень нужна для того, чтобы восьмёрочку не взламывали через подмену загрузчика.

А гильотина - лучшее средство от головной боли. MS рекомендует.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от wintrolls

где выход из хибернейта сравним с русской рулеткой.

и за это отдельное спасибо мелкософту, ибо производители железа вынуждены перепиливать хибернайт под глюки винды.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от anonymous

если есть физический доступ к «тушке»?

и насколько он полный, этот доступ? Вон, к заDRMленным по уши девайсам физический доступ тоже есть

cvs-255 ★★★★★
()
Ответ на: комментарий от DNA_Seq

производители железа вынуждены перепиливать хибернайт под глюки винды.

Пруф?

wintrolls ☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.