LINUX.ORG.RU

Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot

 ,


0

0

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Кроме патчей для запрета kexec и hibernation при загрузке в режиме UEFI Secure Boot, Мэтью Гаррет опубликовал набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities — «CAP_COMPROMISE_KERNEL», предназначенный для выборочного предоставления привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot, но и в других ситуациях, требующих ограничения доступа к ядру.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)

Ответ на: комментарий от parrots

и да там господа батхертящие у которых «бивис не ГРУЗИЦА» батарейку и сброс пытались дел.... (тут я прервал написание и просто гугланул)

ust to add, on UEFI machines that got bricked like this I removed the battery and disconnected the CMOS NVRAM battery and this restored the machine to the factory default and fixed the issue for me.

UEFI ЛОМАЕТ НОУТБУКИ ВЕРНИТЕ БИВИС. рукалицо. это *здец

parrots
()
Ответ на: комментарий от Thero

весь трюк в том чтобы привлечь заинтерисованных людей к решению проблемы

с такой постановкой вопроса он только гнев навлекает. Уж где-где, а в lkml я был бы очень осторожен в формулировках.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

у них там свой уютненький лор. и им ветеранам можно. а вот новичкам лучше быть осторожными.

Thero ★★★★★
()
Ответ на: комментарий от parrots

так подожди давай немного в историю: всё началось с того что я указал людям на неправильность говорить UEFI подразумевая SecureBoot, дальше было много смешных и провокационных высказываний с которых минимум я словил не один лулз -_-

Thero ★★★★★
()
Ответ на: комментарий от parrots

ага там ещё смешное было что сервис центры комуто по первости материнку меняли пока не заметили закономерность.. а господа батхёртящие, просто не знают что у самсунгов отличный сервис центр.

Thero ★★★★★
()
Ответ на: комментарий от Thero

можешь не воспринимать на свой счет, просто для галочки - для упоротых хейтеров, которые что такое именно uefi и что такое бивис не знают. + с того, что ты начал, мы уже выяснили. Ты нерусский наркоман немогущий в изложение мысли(потсы выше)

parrots
()
Ответ на: комментарий от Thero

ну это еще что за аск были. Если по гарантии менять материнку - идиоты(хотя им эти материнки до лампочки, халява сэр), если за деньги, то мудаки конченные(еще не факт, что меняли. ОТЛИЧНЫЙ БИЗНЕС, ЧО)

parrots
()
Ответ на: комментарий от special-k

Оно мне надо? ну не 5 сек. запускается система, а 20 и что.. Не за секунду запускается текстовый редактор (который почти IDE), а за 5-10, например. Зачем оптимизировать то, что приемлемо, лучше пустить энергию на новые фичи.

Ну не за двадцать пять минут обсчитывается сцена, а за сто. Не за шесть минут склеивается панорама, а за шестьдесят. Не за тридцать секунд ресайзится изображение, а за 2-5 минут. Как видишь, множители те же.

Воистину, зачем поддерживать и оптимизировать код, когда можно просто нагородить новых лисапедов?

Lighting ★★★★★
()
Ответ на: комментарий от parrots

«FWIW, I escalated to our folks internally who deal with BIOS issues and they agreed with me that this is likely a UEFI bug that Ubuntu can't do much about; but I haven't heard anything back regarding escalating it to Samsung yet.» и так везде. слешдот, швабра, слор. its uefi bug. GENIOUS Даже я далекий от всего этого ставлю диагноз — кривой acpi и неоттестированный драйвер.

parrots
()
Ответ на: комментарий от parrots

тут вся комичность в том что самсунг своим же драйвером тыкает в дыру в своём же ефи... очень надеюсь что они извлекут урок и впредь будут тестировать, хотябы убунту, со своими ноутами.

ЗЫ на самом деле такаяже фишка с окирпичиванием ефи есть на маках при использовании efibootmgr

Thero ★★★★★
()
Ответ на: комментарий от Thero
 * Samsung Laptop driver
  3  *
  4  * Copyright (C) 2009,2011 Greg Kroah-Hartman (gregkh@suse.de)
  5  * Copyright (C) 2009,2011 Novell Inc

500 рублей на мой счет извольтес, сэр, закинуть за *здеж

parrots
()
Ответ на: комментарий от Thero

кто это блджад сказал? там батарейку клоуны догадались вытащить спустя время, когда желтуха распространилась.

parrots
()
Ответ на: комментарий от Lighting

Ну не за двадцать пять минут обсчитывается сцена,

а за двадцать пять минут и двадцать секунд

Причем тут множители вообще.

special-k ★★★★
()
Ответ на: комментарий от special-k

не 5 сек., а 20

Не за секунду, а за 5-10

Потому что 20 больше 5 в четыре раза, как тебе известно. А 10 больше одного в... Внезапно, десять. Это огромная разница, если ты так и не понял.

Lighting ★★★★★
()
Ответ на: комментарий от Thero

если ты купил мать и на нее не установился линукс - товар в употреблении не был.

если ты два дня задрачиаваешь крусис, а потом пытаешься поставить линукс и не выходит - товар был в употреблении.

на практике, «бывший в употреблении» означает внешние признаки «бывшего в употреблении», как то пыль в кулере, следы хавки на клавиатуре или заляпанная поверхность монитора.

что до понятия технической сложности, я четко обозначил степень достоверности моих слов. если у тебя есть пруфы более убедительные - буду рад взглянуть.

MyTrooName ★★★★★
()

при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

Т.е. при наличии доступа к железу? А что помешает человеку при наличии доступа к железу подключить свой HDD со своей ОС с подписанным загрузчиком?

Ramen ★★★★
()
Ответ на: комментарий от mumpster

гугл блокирует наши тарелки у нас тут хуже чем в китае с этим.

Thero ★★★★★
()
Ответ на: комментарий от mumpster

на гуглях забанилди, да?8)

Дошутились - ваши просьбы проанализированы и учтены. Только сегодня у мну заработал google.ru и google.com, до этого они грузились только на браузере с которого не заходил в аккаунт на тытрубе. Таки несколько дней банили.

Napilnik ★★★★★
()
Ответ на: комментарий от parrots

уже создано. Тебе нужно больше лисапедов?

UEFI проблемный. Нужно другое решение. Лучшее. Безгеморройное. Остальное - дело десятое.

anonymous
()
Ответ на: комментарий от anonymous

BIOS проблемный. Нужно другое решение. Лучшее. Безгеморройное. Остальное - дело десятое. о а давайте сделаем в биосах общий расширяемый интерфэйс, а потом его ещё и унифицируем и назовём всё это UEFI а за стандартом будет следить специальная организация..

Thero ★★★★★
()

Что-то слишком много проблем c PC железом. Проще поступить как Линус - взять Mac, поставить на него Linux. Опять парень впереди планеты оказался, когда взял Air еще до Secure Boot катастрофы.

skwish ★★
()
Ответ на: комментарий от skwish

где катастрофа? или своих мозгов нет подсосался к толпе?

parrots
()
Ответ на: комментарий от xSudo

Круто. Только нафига мне запускать произвольный образ ядра или отключать подкачку и подменять образ восстановления на целевой (атакуемой/вражеской/исследуемой) машине, если у меня к ней есть физический доступ?

Из чего следует, что к машине есть физический доступ? И из чего следует, что есть физический доступ не только клавиатуре и монитору, ибо системник опечатан?

но разрешат модифицировать уже загруженное ядро?

как? kexec тоже запрещают. kslice? не уверен, что поможет, но вопросы есть.

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.