LINUX.ORG.RU

Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot

 ,


0

0

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Кроме патчей для запрета kexec и hibernation при загрузке в режиме UEFI Secure Boot, Мэтью Гаррет опубликовал набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities — «CAP_COMPROMISE_KERNEL», предназначенный для выборочного предоставления привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot, но и в других ситуациях, требующих ограничения доступа к ядру.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)
Ответ на: комментарий от anonymous_incognito

Да, нормальные фирмы вообще-то дают манибек на две недели. Спасибо, что подробно осветил, что его по-хорошему должны давать и не очень нормальные.

Манибэк немножко другое все-таки. При наличии манибэка можно вообще без объяснения причин деньги забрать, а не только если не подходит или дефективный.

//Вчера купил планшет. 5 дней манибэк(добровольно магаз дает), а на проверку отсутствия дефектов 2 недели(как по закону)

Loki13 ★★★★★
()
Ответ на: комментарий от Anonymous

через 5 лет купить компьютер с отключаемым SecureBoot станет проблематично, через 10 - незаконно.

Нужно больше UEFI-истерии.

Lighting ★★★★★
()
Ответ на: комментарий от cvs-255

перевести не забыл?

уровнем не тяну для перевода надеюсь автоматические переводчики ему помогут ну а вцелом жду ответ - от него и отталкиваться буду

PS: Если есть желание перевести - добро пожаловать.

anonymous
()

Долбаный майкрасофт. Может секуребут и назрел, был нужен. Но я бы как-нить и без него обошелся :) Или надо было делать для людей...

Lennier ★★★★
()

Надеюсь, Valve форкнут ядро, допилят свой Steam до состояния DE и можно будет праздновать появление первой нужной на десктопе системы на базе линя. А пока последние полтора года новости одна печальнее другой.

anonymous
()

Эдак сэтим уёфи доживём до того, что линукс станет железной крепостью, а винда - игровой приставкой. Но не без вирусов, ога

darkenshvein ★★★★★
()

А смысл подобных патчей? Задача как раз в обратном - обойти механизмы UEFI Secure Boot, и загрузить ядро без всяких проверок

anonymous
()
Ответ на: комментарий от anonymous

С такимже успехом можно сказать-на загруженой системе через секьюрбут можно запустить виртуалку на которой будет работать непроверенное ядро/ОС...так давайте запретим виртуалки?

В т.ч. для этого UEFI и сделано - чтобы при наличии у тебя физического доступа к машине, тебя можно было лишить возможности запускать игрушки, всякие виртуалки и прочий софт, не предусмотренный корпоративными полисями.

anonymous
()
Ответ на: комментарий от UNiTE

Чтобы обеспечить нормальную поддержку спящего режима лучше вырву с потрохами Secure Boot.

Я бы это сделал просто на ненужностью сабжа, спящий режим не использую. Но нафиг вообще этот SB мне не ясно, мелкомягкие опять придумали как анально отгородить PC, а деверы ведра теперь пляшут под их дудку. Реального улучшения секурности в сабже нету.

erfea ★★★★★
()
Ответ на: комментарий от iTA05

два дибила - это сила!

А целый форум дебилов, даже не пытающихся понять зачем привносятся те или иные усовершенствования - это ЛОР.

anonymous
()
Ответ на: комментарий от Deleted

Сессии и это умеют. Если ваши программы не умеют сессии — пинайте их нещадно.

Вот прямо сейчас открыт 1с, outlook с несколькими недописанными письмами, несколько окон файл-менеджера с нужными мне директориями, около 6 текстовых документов, парочка таблиц, 4 документа в pdf, консультант, браузер и скайп. Все это раскидано по 4 рабочим столам в соответствии с разделением на задачи. Каких именно разработчиков мне нужно было бы пинать, чтобы можно было все это восстановить?

another ★★★★★
()
Ответ на: комментарий от Polugnom

технически сложный - это собранный системник. материнка - технически простой.

под эти слова я юридическую базу подвести не могу, только гарантирую на 100%: так было у нас, и так было у окрестных конкурентов

MyTrooName ★★★★★
()
Ответ на: комментарий от wintrolls

И правильно сделали. У меня и в XP беспарольный вход отключён.

Вообще-то там отключили не пользователя без пароля, а вход под любым пользователем без пароля. В 95 вендувс жмешь отмену и готово.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Вообще-то там отключили не пользователя без пароля, а вход под любым пользователем без пароля.

Как будто это что-то плохое. В никсах так же.

wintrolls ☆☆
()
Ответ на: комментарий от Loki13

МС проще будет сделать чтобы венда не работала без секурбута,

Проще - но как это позволит получить больше денег и власти?
Если никак - то зачем оно им надо?

Ссылка в тему
«Под замком: грядущая война против универсальных компьютеров»
Автор: Кори Доктороу
Кори Доктороу: Грядущая война против универсальных компьютеров

Anonymous ★★★★★
()
Ответ на: комментарий от cvs-255

перейдем на не x86.

сейчас там всё ещё хуже - за ближайшие 5 лет «открытая архитектура IBM PC» только догонит по тивоизированности телефоны.

Anonymous ★★★★★
()

В общем, надо идти на поклон к австралийцам. А если точнее, к анастезиологу и священнику.

dogbert ★★★★★
()
Ответ на: комментарий от cvs-255

Есть куча девайсов с открытыми даташитами.

Уже сейчас компоненты становятся всё менее паябельными на коленке, да что там, даже материнку под современные частоты никакая толпа непрофессионалов в футболках с пингвинчиком не сделает. А завтра тебе девайсы будут вообще делать в интегральном исполнении - кристалл с выводами на монитор, айзернет и кнопку выключения. И даташиты будут открытыми: сюда монитор припаяй, сюда айзернет. И оптом такие штуки будет дёшево дёшево делать. А в розницу никаких денег не хватит чтобы заплатить производителю за то, чтобы он перестроил своё производство и произвёл для тебя что-то кастомное по твоим схемам.

anonymous
()
Ответ на: комментарий от anonymous

Трактовка слова «недостаток», мне кажется, будет в общем случае решена в суде.

sv75 ★★★★★
()
Ответ на: комментарий от Quasar

Продавец должен предоставить информацию о товаре полностью.

Ну будет у всех написано — неотключаемый Secure Boot >_<

sv75 ★★★★★
()
Ответ на: комментарий от sv75

у всех написано — неотключаемый Secure Boot

Или SuperSB+ v.3.0, чтобы меньше пугать прыщавых ЛОРовских маргиналов, которые всё равно не пойдут выяснять что это за хрень.

anonymous
()
Ответ на: комментарий от AVL2

Вообще-то там отключили не пользователя без пароля, а вход под любым пользователем без пароля. В 95 вендувс жмешь отмену и готово.

Ключиком в реестре оключалось подобное безобразие. Если комп в домене - бонусом шла невозможность зайти без связи с сервером.

andrewzvn
()

Вопрос

Господа, я , вообще-то, изрядный лох в этой теме.

Подскажите мне пожалуйста, как возможному будущему пользователю LINUX:

1. у винды подобной проблемы с гибернацией нет? Если нет, то почему в Линуксе не применим подобный алгоритм?

2. DRM-нутую 8-ю винду нельзя будет запустить, как виртуальную(скажем через KVM)?

3. есть ли алгоритм, позволяющий прийти в магазин и, «поколдовав» с компом минут 15(предположим, попытавшись загрузиться с заранее подготовленной флэшки), выяснить, годится ли она для установки на неё Линукса(а если годится, какие могут быть «подводные камни»)?

anonymous
()
Ответ на: комментарий от bhfq

Ну по крайней мере на компах на базе х86 оно будет отключаемым. Если верить майкрософту...

segfault ★★★★★
()
Ответ на: Вопрос от anonymous

1. у винды подобной проблемы с гибернацией нет? Если нет, то почему в Линуксе не применим подобный алгоритм?

Судя по названию документа - это всё пока в зайчаточном состоянии, но впоследствии будет реализовано уефищными плугинами: http://www.uefi.org/events/UEFI-Plugfest-WindowsBootEnvironment.pdf

2. DRM-нутую 8-ю винду нельзя будет запустить, как виртуальную(скажем через KVM)?

При насильственном уефи нельзя будет запускать модифицированную (бесплатную) венду на компах где это уефи не отключаемо. В KVM у тебя встроено уефи?

3. есть ли алгоритм, позволяющий прийти в магазин и, «поколдовав» с компом минут 15(предположим, попытавшись загрузиться с заранее подготовленной флэшки), выяснить, годится ли она для установки на неё Линукса(а если годится, какие могут быть «подводные камни»)?

google линупс модель_компа_или_мамки

anonymous
()
Ответ на: комментарий от bhfq

На том основании, как и любые другие - желание законодателей. Ты ожидал какое-то особое магическое основание в этом случае?

Если мы раньше законы о полном запрете копирастов не протолкнем.

ForwardToMars
()
Ответ на: комментарий от AVL2

И что? Нельзя было пускать без пароля?

2000 позиционировалась как ОС для рабочих станций, а не хомяков. Хомяки ставили ME.

wintrolls ☆☆
()

Вообщем, RMS ответил. Сказал что не может читать русский и узнал нет ли там людей кто может перевести. Я идею проработал глубже и буду переводить. Следом пошлю на рассмотрение RMS. Позже выложу в сеть, ссылку дам сюда. Становится интересно :)

anonymous
()
Ответ на: комментарий от anonymous

Это будут проверенные консорциумом правильные вирусы, которые улучшат моральный облик пользователей. Я гарантирую это.

anonymous
()
Ответ на: комментарий от wintrolls

2000 позиционировалась как ОС для рабочих станций, а не хомяков. Хомяки ставили ME.

так и UEFI позиционируется, как система в которой нельзя запустить неподписанное ядро. В этом суть безопасной загрузки.

AVL2 ★★★★★
()
Ответ на: комментарий от Napilnik

никто ничего не портит, прими разупорину и перечитай новость в исходние.

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

а мы вообще материнки только на заказ возим.. покупатель всегда прав не хочет идти дальше пусть не ходит, не хочет разбираться в предмете пусть не разбирается, хочет чтоб его защитили от ошибки пусть нанимает доверенное лицо которое будет нести ответственность за подбор ему железа. тем не менее ты накидываешь говна несоразмерно вентилятору... он уже под ним не крутится.

Thero ★★★★★
()
Ответ на: комментарий от beastie

против SB особо никого и небыло, а вот против внедрения недоработанной спецификации SB выступил каждый адекват, и как человек ответственный за свои убеждения помог доработать концепцию SB

Thero ★★★★★
()
Ответ на: комментарий от Adjkru

за взлом ключей тащемта уже высылают отрядик...

Thero ★★★★★
()
Ответ на: комментарий от anonymous

сложное техническое, 2-х недельное правило мимо -_- а вот если ты спрашивал про секурбут и тебе сказали что отключаемый, то это уже несоответствие заявленным характеристикам, это возврат.

Thero ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.