LINUX.ORG.RU

Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot

 ,


0

0

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Кроме патчей для запрета kexec и hibernation при загрузке в режиме UEFI Secure Boot, Мэтью Гаррет опубликовал набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities — «CAP_COMPROMISE_KERNEL», предназначенный для выборочного предоставления привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot, но и в других ситуациях, требующих ограничения доступа к ядру.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)

Ответ на: комментарий от Napilnik

приходишь в магазин к манагеру и говоришь чего хотеть, пятый окажется не дураком и поможет.

Thero ★★★★★
()
Ответ на: комментарий от wintrolls

Допилить как? Заставить диск быстрей отдавать образ памяти? По моему с ростом RAM смысл в hybernate пропадает напрочь. Линукс с SSD грузится быстрее с нуля, чем из hybernate'а. У вантуза, насколько я знаю, та же проблема, и обусловлена она скоростью дисковой подсистемы. Уже при 4Гб толку от hybernate'а ноль.

anonymous
()
Ответ на: комментарий от Quasar

пофиксь UEFI на SecureBoot иначе 4.2 \\ я знаю что все кто делают секурбут и к уефи имеют отношение, но не все кто делают уефи имеют отношение к секьюрбут.

Thero ★★★★★
()
Ответ на: комментарий от another

Вантузятнег? У меня все прилаги, от браузера до редактора и так открывают всё что в них было при закрытии.

anonymous
()
Ответ на: комментарий от Quasar

сделать можно но тогда это не будет Secure Boot и нафига ты вообще тогда в биосе его включил если не пользуешься?

Thero ★★★★★
()
Ответ на: комментарий от anonymous

По моему с ростом RAM смысл в hybernate пропадает напрочь. Линукс с SSD грузится быстрее с нуля, чем из hybernate'а.

Да мне насрать на скорость. Хибернейт удобнее ежедневного запуска десятка одних и тех же приложений и файлов.

wintrolls ☆☆
()
Ответ на: комментарий от Polugnom

тут такое скользкое дело, что магазин может сказать идите в суд, я вот например советую это всем кто приходит и что-то требует, но не слушает. с нормальными людьми по человечески конечно решаем -_-

Thero ★★★★★
()
Ответ на: комментарий от nekosargot

это скользкая дорожка затрагивающая презумпцию невиновности... впрочем в странах с предъявительским правом прканает.

Thero ★★★★★
()
Ответ на: комментарий от goingUp

это лучше чем: эй ребят у нас есть тут «безопасный» режим который только проблем добавляет, а дыры всё также есть. не из всякого урана бомбы делают, и бороться надо не с ураном а с бомбами, хотя проще конечно с ураном.

Thero ★★★★★
()
Ответ на: комментарий от true_admin

в том что в правильной реализации у тебя есть контроль ключей, и когда тебе это нужно ты выберешь тот вариант где всё правильно, а не шоб було.

вне комерческих договоров где за целостность обновления кто-то несёт ответственности это не особо интересно за рамками паранои, да. а то что сейчас энтерпрайз обкатывают на обычных людях, так это почти всегда так было.

Thero ★★★★★
()
Ответ на: комментарий от wintrolls

ты видел этот однострочник? ну смешно же ребят.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

Допилить как? Заставить диск быстрей отдавать образ памяти? По моему с ростом RAM смысл в hybernate пропадает напрочь. Линукс с SSD грузится быстрее с нуля, чем из hybernate'а. У вантуза, насколько я знаю, та же проблема, и обусловлена она скоростью дисковой подсистемы. Уже при 4Гб толку от hybernate'а ноль.

1. Своп вешай на USB3 флешку. 2. Своп делай небольшой (у меня на ноуте 4 Гб памяти а своп на 1 Гб). Браузер захлапываю (firefox с плгином session manager; прикол в том что при след. отркытии браузера вкладки сразу восстанавливаются) и системе уже хватает свопа уйти в hibernate. Нафига свопить все 32 Гб системных если можно толстые приложения выгрузить.

anonymous
()
Ответ на: комментарий от xSudo

а кто тебе разрешит модифицировать уже загруженное ядро? с этого места подробнее?

ЗЫ вот мой грибной юзкейс секурбута:

физический доступ к моей машине позволит тебе загрузить систему в «гостевом» режиме(ну допустим машинка рабочая и работает с важными документами, у пользователя машинки только пароль от рабочего логина, все админские только у меня), в биос и прочие там загрузится с флэшки шаманства без админского пароля не алё, допустим ты машинку украл, получил к ней временный доступ, она в корпусе-сейфе который вскрыть без повреждения внутренностей нельзя, единственный вариант для тебя это из гостевого режима что-то хакнуть... и вот тут секурбут не лишним будет, да? вот ребята которым он не лишний тут его и разработали в рамках спецификаций уефи (впрочем у некоторых интелов были вполне конкретный цели по «тивоизации», да)

Thero ★★★★★
()
Ответ на: комментарий от Reset

А как в винде спящий режим работает?

К сожалению, hibernate в винде реализован лучше, чем в некоторых дистрибутивах. Вангую что и наличие Secure Boot не будет помехой.

UNiTE ★★★★★
()
Ответ на: комментарий от anonymous

а если нет? читай мой грибной кейс.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

воот это вариант который идеален, но он идёт вдоль политики интела, а ждать ты будешь долго ибо пока нет спроса нет предложения.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

будь я богатым китайцем я бы такую компанию основал... если что готов немного рублей в такое проинвестировать.

Thero ★★★★★
()
Ответ на: комментарий от user_id_68054

просто в заголовке новости нет:

ВНИМАНИЕ! НОВОСТЬ КАСАЕТСЯ ТОЛЬКО СЛУЧАЕВ ИСПОЛЬЗОВАНИЯ СЕКЬЮРБУТ, ЕСЛИ ВЫ НЕ ПЛАНИРУЕТЕ ЕГО ИСПОЛЬЗОВАТЬ ПРОХОДИТЕ МИМО!

Thero ★★★★★
()
Ответ на: комментарий от anonymous

аппаратный переключатель на материнке для обновления bios и иных миропрограмм

у меня на ноутбуке вроде есть(secure update включен)

parrots
()
Ответ на: комментарий от anonymous

Продавец (изготовитель), уполномоченная организация или уполномоченный индивидуальный предприниматель, импортер обязаны принять товар ненадлежащего качества у потребителя и в случае необходимости провести проверку качества товара. Потребитель вправе участвовать в проверке качества товара. (в ред. Федерального закона от 21.12.2004 N 171-ФЗ) В случае спора о причинах возникновения недостатков товара продавец (изготовитель), уполномоченная организация или уполномоченный индивидуальный предприниматель, импортер обязаны провести экспертизу товара за свой счет. Экспертиза товара проводится в сроки, установленные статьями 20, 21 и 22 настоящего Закона для удовлетворения соответствующих требований потребителя. Потребитель вправе присутствовать при проведении экспертизы товара и в случае несогласия с ее результатами оспорить заключение такой экспертизы в судебном порядке

итого можно почти месяц сидеть на экспертизах без железяки и денег, а в итоге доехать до суда. в некоторых случаях вам предложат вернуть деньги с вычетом некоторой издержки в случае если он фактически исправен, в некоторых случаях прямо указано что если несовместимость с оборудованием является дефектом ПО\друго-го оборудования пользователя, то дефектом вот этой железяки это считать нельзя и давай досвиданья, но если не распаковывал(ну малоли на коробочке\в интернете вычитал и понял что не взлетит) то вернём не вопрос.

самое главное не прикидываться идиотами, не спорить без причины и не делать глупостей (с) иначе сам дурак.

Thero ★★★★★
()
Ответ на: ОС без гибернации это не ОС. от LinuxDebian

гибернат остался на месте, как работал через раз так и будет. просто в режиме секьюрбут он будет отключён( видите теперь вам проще выбирать железо с отключаемым или отсутствующим секьюрбут)

Thero ★★★★★
()
Ответ на: комментарий от Polugnom

возможность, то есть, что вы как упоротые, а?

Thero ★★★★★
()
Ответ на: комментарий от Thero

Сравнение может не очень, но это как подключить громадных размеров монитор к встроенной видеокарте - подключить можно, но толку 0. Т.е. если этот компьютер на столько важен, что его поместили в сейф (причём специально разработанный), и я его смог украсть (ухххх, даже почувствовал себя агентом 007), то мне не составило бы труда приставить к твоей ноздре раскалённый паяльник и узнать пароль. Либо подобрать брутфорсом на суперкомпьютере в генштабе, или применить лазерную резку в вакууме. Хотя паяльником проще и сам процесс приятней =) Имхо, для особо важных документов свои разработки, а нам то простым смертным оно только во вред.

xSudo ★★★
()

Пилять, запустите уже по офису мелкософта Булаву какую-нибудь хотя бы, а?

КАК Я ХОЧУ ЧТОБЫ ОНИ СДОХЛИ В МУКАХ!!!!!!!!!111111одинодин

От поноса например чтобы сдохли, на толчке сидя, всем майкрософтом. Разом.

vitalif ★★★★★
()
Ответ на: комментарий от Quasar

ты у меня три дня ночевать будешь пока я тебе про твой ноутбук всё расскажу, мне впрочем это не взападло, но вот будет ли он делать те извращённые вещи которые тебе нужны( ну наабсурдныйпример питать от его зарядника фен -_-) незнаю ни я ни производитель ноутбука( ну а вдруг у тебя такой хитрый фен), но ты ведь думал что все ноутбуки могут питать твой фен, а нигде не написано что не могут.. и раз я не сказал что не могут( а ты допустим не спрашивал, зачем тыж уверен что должно работать, да и вообще только для этого ноутбук и брал..) то значит можно... ладно я тут с вами тоже упоролся меня начало на истории пробивать.

Thero ★★★★★
()
Ответ на: комментарий от Loki13

до андроидов всем тоже както дела нет. ну порутуют и порутуют. а вот когда тебе платят за то что никто не сможет порутовать твою машину даже если ты её потеряешь, это совсем другая мотивация.

Thero ★★★★★
()
Ответ на: комментарий от Dron

нет, он на диск ничего не пишет управление ресурсами от ОС к биосу не делает.

Thero ★★★★★
()
Ответ на: комментарий от Thero

никто не сможет порутовать твою машину даже если ты её потеряешь

и причём тут секьюр бут? тут единственный вариант - шифровать ВСЁ, а ключ нигде не хранить.

vitalif ★★★★★
()
Ответ на: комментарий от Kroz

ну с гибернейтом ладно, там основная новость про кекзек и то что кекзек+секурбут=секурбут очень лишний, секурбут+хибернат=нужно очень правильно организовать гибернацию чтобы секурбут не стал лишним, этим можно потом заняться, ибо хибернат невостребован среди тех кому действительно востребован секурбут.

Thero ★★★★★
()
Ответ на: комментарий от anonymous_incognito

ребят народ сейчас такой что пытается вернуть кресло по причине, ну знаете я его поставила, а оно так не сочетается с обоями и шторами...

Thero ★★★★★
()
Ответ на: комментарий от MyTrooName

Обмен непродовольственного товара надлежащего качества проводится, если указанный товар не был в употреблении, сохранены его товарный вид, потребительские свойства, пломбы, фабричные ярлыки, а также имеется товарный чек или кассовый чек либо иной подтверждающий оплату указанного товара документ. Отсутствие у потребителя товарного чека или кассового чека либо иного подтверждающего оплату товара документа не лишает его возможности ссылаться на свидетельские показания.(тут добавлю, что это обычно 2 свидетеля и обычно канает только в суде)

к сожалению протестировать свойства товара не сделав его был в употреблении обычно нереально.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

Я его вернул и забрал деньги (но сам девайс исправен) // экспертизу делали? если нет, то риски уже вложены в модель наценки, могли бы и отказать, когда к тому нет препятствий обычно идут на встречу.

Thero ★★★★★
()
Ответ на: комментарий от Polugnom

да тут предупреждай не предупреждай, потом всёравно приходят и: я думал что должно было быть так вы ничего мне не говорили вернитеденьгинемедленномненекогдаяспешуябудужаловаться

Thero ★★★★★
()
Ответ на: комментарий от DNA_Seq

это если у них в твоей стране своя гарантия( то к продавцу ты поидее на возврат пойдёшь, только после производительского СЦ с бумажечькой.. но в реальном мире..)

Thero ★★★★★
()
Ответ на: комментарий от wintrolls

для этого проделаны серьёзные денежные вливания в производителей железок, а ещё много думали так\сяк или вот-так\эдак, вместо нужно\ненужно

Thero ★★★★★
()
Ответ на: комментарий от cruxish

смотри дальше майкрософт не в создателях, они полуготовый продукт увидели и придумали как использовать и главное могли и форсировали повсеместное внедрение.

Thero ★★★★★
()
Ответ на: комментарий от Thero

У пиратской партии Германии недавно появился такой термин - politics of shitstorm, это когда кто-то вбрасывает какую-то претензию к человеку, а потом тысячи набегают и поддакивают вообще не разбираясь кто прав, кто виноват, и не глядя о чем речь.

Причем такие набеги могут полностью парализовать работу людей, на которых нацелены. И особенно опасны они для волонтерских сообществ, когда работа в буквальном смысле слова делается «за спасибо».

Конечно я прекрасно понимаю, что разработчики ядра достаточно толстокожи и опытны, чтобы выдерживать подобные нагрузки. Кроме того разработка - это не политика, «домохозяек», тем более часто исключительно русскоязычных, там всерьез выслушивать никто не должен и не будет. Так что тот же Мэттью Гаррет в моей защите вряд ли нуждается. Но сам факт того, что вот так парой фраз можно родить волну «народного гнева» в произвольном направлении как-то настораживает.

alpha ★★★★★
()
Ответ на: комментарий от cruxish

не на арм, а на компьютерах с предустановленной windows RT.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

хватит приписывать майкрософт чужие заслуги!

Thero ★★★★★
()

Можно подумать раньше в линуксах нормально работал спящий режим. Шило на мыло.

emissar ★★
()
Ответ на: комментарий от anonymous

эта задача давно решена отключением секьюрбут. обход этих механизмов никому( ну кроме жуликов и идиотов(в том числе не умеющих делать выбор вовремя, а потом выворачивающихся из якобы сложившейся вокруг них ситуации(взял неглядя? молодец скушай конфетку, что? нет что-ты я не отравлял)))

Thero ★★★★★
()

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

Интересно, много ли было уже таких случаев раньше?

emissar ★★
()
Ответ на: комментарий от erfea

придумал интел(ну и там заинтересованные тоже подхватили), как пускать только одобренный код, для тех кому это было надо, майкрософт подумал что хороший пиар и давайте не доработанную технологию пустим в массы.

Реального улучшения секурности в сабже нету.

а ребятам из рэдхэт в отличие от майкрософт надо чтобы было.

Thero ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.