LINUX.ORG.RU

Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI

 , , ,


1

2

Мэтью Гаррет (Matthew Garrett) анонсировал поддержку режима безопасной загрузки UEFI в следующем релизе дистрибутива Fedora.

На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управления штатному загрузчику GRUB 2, который, как и ядро, и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora. Первичный загрузчик будет заверен представителями проекта Fedora через сервис Microsoft, позволяющий за $99 (сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

>>> Подробности (opennet.ru)

★★★

Проверено: maxcom ()
Последнее исправление: Binary (всего исправлений: 2)
Ответ на: комментарий от dinn

Я не в курсе как оно в suse, там точно не инсталлер запакованный в rpm?

winddos ★★★
()
Ответ на: комментарий от winddos

ну очивидно что сертификаты дают не всем.

Thero ★★★★★
()

шо будет с андроедом?

Не запуститься? И для гугла припасён сюрприз не 100 зеленых, 10 в неизвестно какой.

anonymous
()
Ответ на: комментарий от dinn

Не знаю как в openSUSE 12.1, а в openSUSE 11.4 официальные RPM с драйверами NVIDIA содержат внутри .ko-файлы для дистрибутивного ядра Linux.

Вообще так:

NVIDIA, SUSE 11.4 - готовые .ko-файлы для конкретных ядер.

NVIDIA, SUSE 12.1 - внутри пакета всё по-другому, но пока не попробую - не скажу точно.

ATi/AMD, SUSE 11.4 - компилируется, не зависит от того, какое ядро.

NVIDIA, ATi/AMD, Debian - с помощью DKMS компиляция производится уже после установки пакета, не важно какое ядро. DKMS также следит, а не обновлялось ли ядро Linux.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от winddos

Ему будут сливать инфу антивирусные компании. Говоришь, не будут сливать за взятку? Так почему же они сейчас не перестают искать эти винлокеры за взятку? И как тогда дырки в браузерах закрываются? Откуда разработчики узнают о них? Тоже можно сказать «опера не узнает, файрфокс не узнает». Но по факту - как-то узнают ведь, да?

ForwardToMars
()
Ответ на: комментарий от Ttt

Одно дело, что из сорца собирается <что-то_там.ko> с использованием сорца ядра, а другое дело, что <этот_результат_сборки.ko> для своей работы требует какие-либо заранее скомпилированные блобы (взаимодействие посредством API). Т.е. непосредственно для сборки оно требует только сорцы ядра, а юзерспейсный блоб нужен лишь во время работы <модуля.ko>.

carasin ★★★★★
()
Ответ на: комментарий от tp_for_my_bunghole

Будет похакано через месяц или на следующий день.

Trieforce
()
Ответ на: комментарий от science

официально обобрён
обобрён

меня терзают нехорошие сомнения по истинному виду этого слова...

superdarkshvein
()
Ответ на: комментарий от alpha

Это неверно, исправь, пожалуйста. Там даже в первоисточнике специально для интернетных троллей отмечено жирным шрифтом.

А почему тогда сервер, на котором продают эти ключи в поддомене http://microsoft.com ?

Xenius ★★★★★
()
Ответ на: комментарий от winddos

по сути аналогичен выкладыванию ключа.

Такие вещи работают не по сути, а по правилам. По написанным правилам.

ForwardToMars
()
Ответ на: комментарий от Ford_Focus

о техническая неотключааемость снята урря!

осталась психополитическая.

арм вообще мимо идёт как были единицы китайских планшетов с открытым загрузчиком так и будут

Thero ★★★★★
()
Ответ на: есть!!! от mylorlogin

не следил подметать учили.

в любом случае когда твой лайвсиди с убунтой просто не загрузится даже чтобы сказать тебе зйди в биос отключи секурбут если хочешьполноценный линукс. этот самый звалёный лайвсиди теряет смысл.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Ты решил что я вендотроль? Нет, это не так. Я использую GNU/Linux там где это возможно, но все же применить ее абсолютно везде невозможно по понятным причинам.

partyzan ★★★
()

В чем надобность и прагматизм? Короче зачем??

fedoseev
()

Ээээх

И никто не увидел главного смысла этой подляны: Виндовс8 нельзя будет ставить в дуалбут с «неподписанными» дистрибутивами, + он не будет запускаться в виртуалбоксе. И это действительно удар по линуксу.

Gukl ★★★
()
Ответ на: Ээээх от Gukl

недошиндовсоиды плачут за дуалбутом. Пичаль. /me утер скупую слезу.

Gunnerua
()
Ответ на: комментарий от carasin

соврал в этой новости нет

Так как спецификация требует обязательной проверки всех компонентов взаимодействующих с оборудованием, при использовании режима безопасной загрузки UEFI функциональность ядра будет немного урезана, например, будет заблокирована поддержка прямого обращения к памяти устройств из пространства пользователя, т.е. для работы с графической картой обязательным будет использование DRM-драйвера, работающего на уровне ядра (при загрузке в обычном режиме данное ограничение не будет действовать). Процесс формирования подписей для стандартных модулей и драйверов будет автоматизирован, вопросы организации формирования подписей для сторонних модулей ядра (например, virtualbox, драйверы nvidia и AMD Catalyst) и для модулей пересобранных из исходных текстов пока находятся на стадии обсуждения.

Thero ★★★★★
()
Ответ на: комментарий от ZenitharChampion

И у NVIDIA, и у ATI код этой обёртки открыт и компилируется на целевой системе.

Не так. Может на целевой, а может и нет:

kmod-nvidia-3.3.7-1.fc17.x86_64-295.53-1.fc17.2.x86_64 : nvidia kernel module(s) for 3.3.7-1.fc17.x86_64

anonymous
()
Ответ на: комментарий от Paused

смотря что считать платой я считаю что бесплатные компьютеры миф.

Thero ★★★★★
()
Ответ на: комментарий от Ttt

Можно отдельно подписать модуль, и вместе с этим сделать в ядре linux проверку подписи подгружаемых модулей. Вендовые драйверы же все подписаны, так что и у нас могут сделать так.

Это в линуксе уже есть. А можно вообще без поддержки модулей собирать ^^

anonymous
()
Ответ на: комментарий от ForwardToMars

свободый софт он свободен от ограничений или свободен от их отсутствия? давайте не будем о свободе это миф.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Вариант я написал же. Купить ключ в другом месте.

Сейчас это место verisign. Предложишь более достойную альтернативу, из реальных?

anonymous
()
Ответ на: комментарий от carasin

на опеннете -_- хотя сейчас страктовать можно по разному.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

только для избранных

ты обязан соблюдать :)

Как только сэр соизволит определиться с ВП, так сразу.

anonymous
()
Ответ на: комментарий от ForwardToMars

ну всё чаще про 8 нам рассказывает синовски. а балмер с впфонами пляшет. таккчто шансы малы.

Thero ★★★★★
()
Ответ на: комментарий от Ttt

Мельком прошёлся по пакетам с broadcom'овским драйвером wl. У них там что, лицензионные разночтения какие-то? Но, впрочем, суть не в этом. У той же Nvidia'и, например, блоб распространяется именно по описанному мной принципу.

carasin ★★★★★
()
Ответ на: комментарий от maxt

так паника таки выстрелила но и обходные манёвры прорабатывались с самого начала.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Тогда остаётся надеяться, что так оно и будет.

carasin ★★★★★
()
Ответ на: комментарий от ForwardToMars

так для того и первичный лоадер подписанный майкрософт.

Thero ★★★★★
()
Ответ на: комментарий от Nxx

Ты не можешь запускать, копировать, хранить на компьютере любое ПО. Значит, не можешь использовать его как захочешь.

А еще я не могу запинать кого-нибудь жестким диском вусмерть. Вот черт, да я никакую материальную вещь не могу использовать как мне хочется. Проклятые копирасты!

anonymous
()
Ответ на: комментарий от maloi

блоб подпишут кто прослойку меду ядром и блобом подпишет?

у видии и амд очевидно уже есть ключи майкрософт.

Thero ★★★★★
()

Ребята реально молодцы. Сколько крику было по поводу этого УЕФИ, а они просто взяли и решили этот вопрос. Все правильно сделали.

anonymous
()
Ответ на: комментарий от Ttt

Ну да, лучше специально дать пользователю линукс с ограничениями сильнее, чем в венде, причём влияющие и на возможность нормальной работы. Ведь проприетарные драйверы поставить будет нельзя, свободные, не входящие в официальную сборку ядра дистрибутива — т

оже.

Во первых, такого даже на армах нет. Там подписывают ядро, но позволяют грузить модули (как вариант, понятно, что можно отключить в ядре поддержку модулей, но даже моторолла этого не делает).

Во вторых, в uefi подписывают не ядро и не модули, а первую стадию grub(2).

В третьих, нет никаких дополнительных ограничений, кроме тех, что есть в железке.

AVL2 ★★★★★
()
Ответ на: комментарий от Ttt

Зашить на заводе это не редистрибуция если нужно подписывать елуа его кладут приложением к елуа целого устройства таким образом все блокеры обойдены.

Thero ★★★★★
()
Ответ на: комментарий от maloi

федора (или rpmfusion) будут подписывать уже собранный модуль и распространять в таком виде - проблемы тут исключительно организационного плана и неудобства пользователей, т.к. вместо автоматической пересборки модулей с помощью dkms нужно будет качать ещё и модуль под конкретно твое ядро.

Там уже давно есть такая альтернатива, выше название пакета приводил.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.