LINUX.ORG.RU

Ubuntu напишет свой загрузчик, чтобы обойти ограничения лицензии GPLv3 о запрете тивоизации

 , , ,


0

2

С целью обойти запрет на тивоизацию в лицензии GPLv3, под которой распространяется загрузчик GRUB2 и позволить производителям поставлять компьютеры с предустановленной ОС Ubuntu, загружающейся в режиме Secure Boot, компания Canonical объявила о начале работы над созданием собственного загрузчика, который будет лицензирован под более либеральной лицензией.

За основу нового загрузчика будет принят загрузчик efilinux, разработанный компанией Intel.

Для получения статуса Ubuntu Certified разработчики Canonical также потребуют от поставщиков оборудования наличия в UEFI ключей WinQual, позволяющих загрузку других ОС. Кроме того, политика компании остаётся прежней и компания поддерживает производителей, которые предоставляют возможность отключения Secure Boot.

В дистрибутивах Ubuntu, предназначенных для установки на стороннее оборудование, будет использоваться загрузчик, подписанный ключом Microsoft, аналогично подходу дистрибутива Fedora, но ядро и другие компоненты системы подписываться не будут. На системах с отключенным Secure Boot будет автоматически использоваться GRUB2.

>>> Подробности

★★★★★

Проверено: catap ()
Последнее исправление: Aceler (всего исправлений: 11)

Ответ на: комментарий от drBatty

Хуже. Сейчас гуляет несколько билдерорв локеров.
Так что это не «нормальных локеров не делают» а вообще не делают.

Просто будет грустно, если этот загрузчик попадет в очередной билдер.

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Так что это не «нормальных локеров не делают» а вообще не делают.

возможно. я их давно не видел..

drBatty ★★
()
Ответ на: комментарий от Kuzz

Таблица разделов это как раз то, что легко автоматически восстановить (надо просто пробежаться на диске и найти супер-блоки ФС по сигнатурам - с суперблока начинается раздел, в супер блоке записан размер ФС). Во всяких LiveCD для автовосстановления должно это быть.

Опять же, вылечить локер, когда можно грузить всё что угодно намного проще, потому что доступны любые LiveCD с различными инструментами. То есть возможности лечения мы заранее обрезаем, и всего лишь ради защиты от небольшого набора малораспространённых сейчас троянов, авторый которых всё равно что-нибудь придумают в отличии от юзера.

KivApple ★★★★★
()
Ответ на: комментарий от daemonpnz

Secure boot на ARM, а не UEFI.

всмысле на ARM? Secure boot - это ж программный протокол взамет «тупого» подхода ACPI/SLIC..

на арм девайсах повсемесно используют u-boot и даже_если (в скором будующем), помимо карманных/встраиваемых устройств, арм пойдет на десктопы/серверы - будет выбран OpenFirmware, но никак не UEFI..

uin ★★★
()
Ответ на: комментарий от uin

Secure boot это технология для ограничения того, что можно запустить на машине, где он установлен.

KivApple ★★★★★
()

А чего его писать? Он уже есть же.

linuxmaster ★★★★
()
Ответ на: комментарий от anonymous

Все жду, чем на эту кутерьму с Sec Boot ответит дебиан. Вот это действительно интересно.

Матом. К.О.

AiFiLTr0 ★★★★★
()
Ответ на: комментарий от Quasar

Причем тут это? Представь, что тебе подарили комп с этим самым секур-бутом. И ты на него ничего кроме семёрочки не поставишь, нахун тебе такой комп? А подписанный загрузчик позволит тебе туда поставить что угодно и загрузить этим самым загрузчиком.

anonymous
()
Ответ на: комментарий от anonymous

Все жду, чем на эту кутерьму с Sec Boot ответит дебиан. Вот это действительно интересно.

а что дебиан? им из простых смертных никто не пользуется. на серверах UEFI не будет, а на десктопах — пользователи дебиан и сами в состоянии найти ноутбуки без UEFI. так что им очень просто крикнуть «свободка» и отказаться от поддержки UEFI.

kost-bebix ★★
()
Ответ на: комментарий от pss

Есть вариант получше? Вообще не давать возможность кроме семерочки ничего установить?

kost-bebix ★★
()
Ответ на: комментарий от Tam-Tam

Да старые биосы вполне устравивают uefi не нужен.

А я очень хочу мать с uefi, насколько я понял там можно ядро грузить сразу.

Из релизнотесов ядра 3.3 «добавлена поддержка загрузки ядра напрямую с помощью EFI без использования загрузчика; »

Почти уверен, что загрузка будет секунд на 5-10 быстрее с такой методой

Loki13 ★★★★★
()
Ответ на: комментарий от kost-bebix

s/UEFI/Secure Boot/

На серверах и ноутбуках/десктопах UEFI уже есть и давно.

Aceler ★★★★★
()
Ответ на: комментарий от anonymous

В задницу такой подарок. Я им пользоваться не буду, так как он по факту нерабочий. Я буду пользоваться компьютером, которым я владею, а не мелкософт или мудило Марк Говно-В-Рот. Он хочет запретить мне пользоваться компьютером - пусть потом не удивляется что у него нос сломан.

Quasar ★★★★★
()
Ответ на: комментарий от Ttt

Какие ещё трояны под винду? Secure Boot якобы предотвращает запуск вредноносного кода, который запускается вместо ОС.

Я почти уверен, что основная причина секурбута для венды это противодействие активаторам, которые грузятся перед ntldr и подставляют oem slic так что венда думает что она лицензионная. Т.е. хотят пиратов прижать секурбутом

Loki13 ★★★★★
()
Ответ на: комментарий от anonymous

Дебьяну этот SecureBoot как серпом по яйцам - нехватало еще огороженых компьютеров. Там куча платформ поддерживается, поэтому проце этот говноboot послать куда подальше. Убунта, кстати, из-за этого быстро загнется.

Quasar ★★★★★
()
Ответ на: комментарий от Axon

Важно то, что делают, а не то, что балаболят. Убунта - враг сообщества.

Quasar ★★★★★
()
Ответ на: комментарий от Axon

КанониКАЛ намеревается договариваться с вендорами. С некоторыми уже удалось договориться. Так что эти твари лгут - убунту пытаются пихнуть, запретив другие дистрибутивы.

Quasar ★★★★★
()
Ответ на: комментарий от BMX

Ноуты с неотключаемым SecureBoot надо просто на помойку отправлять или не покупать. Если продавцы отказываются дать информацию - априори считаем, что они хотят украсть деньги.

Quasar ★★★★★
()
Ответ на: комментарий от Aceler

С целью обойти запрет на тивоизацию в лицензии GPLv3, под которой распространяется загрузчик GRUB2 и позволить производителям поставлять компьютеры с предустановленной ОС Ubuntu и без возможности отключить Secure Boot

Вот эта наглая клевета всё равно осталась.

Axon ★★★★★
()
Ответ на: комментарий от Nxx

Убунта тем самым публично и открыто одобряет угнетение пользователей в банальное рабство. Такие же сволочи, как и федоровцы. Биореактор по ним плачет.

Quasar ★★★★★
()
Ответ на: комментарий от KivApple

Я так и делал. Только речь о том, что «ребёнок разблокирует»

А по поводу распространенности.. Ботов прятать тоже нужно, чтоб не обнаружили и не вынесли. И буткиты в этом случае имеют применение (в качестве примера: Alureon/Tidserv/TDSS/TDL, Mebroot/SINOWAL, Boot.Pihar, Win64.Olmarik, Win64.Rovnix). Да и в тырилках паролей тоже используются.

Kuzz ★★★
()
Ответ на: комментарий от Quasar

Я так понял заменяешь зенитарчега сегодня, человек-баттхерт? ;)

anonymous
()
Ответ на: комментарий от Quasar

Теперь и убунта присоединилась к врагам человечества, а не только федора.

Ты неправильно понял. Убунта именно, что присоединилась, начав предлагать разработчикам заливать свои приватные ключи. В Fedora отказались заливать ключи и предложили workaround для залоченных машин.

plm ★★★★★
()
Ответ на: комментарий от Axon

Надо эти девайся бойкотировать и не давать другим их покупать, а не пытаться прогибаться. От этого зависит будущее. Это тебе не парочка проприетарных игр - это касается всех и сразу.

Quasar ★★★★★
()
Ответ на: комментарий от plm

Видел я все новости. Убунта могла на своей политике настоять, но теперь окончательно прогнулась. Могла бы свой дистрибутив, ставящийся в венду, сделать, через виртуальную машину.

Quasar ★★★★★
()
Ответ на: комментарий от Quasar

ядро и другие компоненты системы подписываться не будут

сколько раз это нужно процитировать, чтобы дошло? они ни в каком случае не собираются проверять ядро и модули. как это возможно, это же нарушение Secure boot? меня это совершенно не волнует, они сказали что будет так => они знают как этого добиться. На безопастность вендоюзеров мне как-то наплевать.

а значит, если мне потребуется, я просто выдерну из свежей Ubuntu grub и поставлю в свой уютный арчик. даже скорее всего руками возиться не придётся, а будет пакет в AUR, который всё это автоматизирует. благо у grub зависимостей мало и не придётся ставить патченные-перепатченные убунтовские библиотеки.

KivApple ★★★★★
()
Ответ на: комментарий от Quasar

Надо эти девайся бойкотировать

Вперед, выходи с плакатом плясать перед магазином DELL - люди посмотрят на придурка и пройдут мимо (мимо тебя, а не магазина). ;)

anonymous
()

Это плюс. Но какой же это и минус! Но всё таки лучше иметь убунту, чем виндос.

Hackeridze
()
Ответ на: комментарий от Axon

Ну там не совсем чтобы наглая клевета, каноникловцы всё-таки допускают, что какие-то поставщики насрут на сертификацию и будут поставлять «locked down systems», но напрямую этого не сказано. К тому же «Ubuntu certified» будет подразумевать наличие ключа Canonical, ключа WinQual и обязательную возможность отключения SB, так что это будут самые свободные машины из продаваемых. Мотивацию Canonical отказаться от WinQual я описывал в соседнем треде — главная проблема — доверие к инфраструктуре Micsrosoft, содержащей ключи, поскольку в случае их компрометации проблемы будут у всех — и у MS, и у федоры, и у убунты. А так — свои ключи, что хочу то и делаю.

Aceler ★★★★★
()
Ответ на: комментарий от Nxx

И тогда производители откажутся предустанавливать убунту, зато будут ставить виндос.

Hackeridze
()
Ответ на: комментарий от Aceler

Ну там не совсем чтобы наглая клевета, каноникловцы всё-таки допускают, что какие-то поставщики насрут на сертификацию и будут поставлять «locked down systems», но напрямую этого не сказано.

Там напрямую сказано, что они допускают, что это может произойти. Допускают в том смысле, что не могут исключить такую возможность, а не в том, что они это разрешают.

Axon ★★★★★
()
Ответ на: комментарий от Aceler

Я бы не сказал, что у убунты и федоры будут проблемы. Нам-то вообще на эффективность работы Secure boot пофиг. Лично я даже наоборот надеюсь на скорую компрометацию ключей, чтобы можно было подписывать что угодно.

Да, антивирус в Linux не нужен %)

KivApple ★★★★★
()
Ответ на: комментарий от DarkV

Для тебя - «щвабода». Для меня - свобода. Если ты придуриваешься и троллишь - то ответ наверняка знаешь сам. А если для тебя и правда - «щвабода» - незачем на тебя тратить время.

ForwardToMars
()
Ответ на: комментарий от KivApple

Я бы не сказал, что у убунты и федоры будут проблемы.

Дуалбут — винда, федора. Вечерело. Винда качает апдейты, в которых сказано, что ключи умерли, всем менять ключи. Процедура смены ключей должна быть примитивной и простой для пользователя, не так ли? Пользователь обновляет ключи в виндах и в UEFI, федора перестаёт грузиться.

Aceler ★★★★★
()
Ответ на: комментарий от Quasar

Запретить другие дистры, не подписывая ядро? Ты кажется спутал с федорой - это у них ядро планируют подписывать.

ForwardToMars
()
Ответ на: комментарий от Quasar

У тебя истерика. Напиши пару раз заявление в милицию со своим «они украли деньги», посмотришь на реакцию. Видео запиши, там тоже интересно.

ForwardToMars
()
Ответ на: комментарий от Aceler

Вот, теперь более-менее. Спасибо. Хотя я бы сказал как-то так:

С целью избежать лицензионных проблем, которые могут возникнуть в случае, если кто-то из поставщиков оборудования с предустановленной Ubuntu не даст пользователям возможность отключить Secureboot, компания Canonical приняла решение о начале работы над созданием собственного загрузчика, который будет лицензирован под более либеральной лицензией.

Axon ★★★★★
()
Ответ на: комментарий от Aceler

Как будет производится смена ключей это достаточно спорный вопрос. Возможно, лучше вообще их не менять и смириться с компрометацией. Причина проста:

Допустим, ключи утекли. Но если утекли одни ключи, то вполне могли утечь и подписи обновлений. В итоге злоумышленник (который о взломе знает раньше, чем владелец ключей, в любом случае) засылает свои обновления ключей. После этого MS уже не может обновить ключи на большинстве машин, потому что у него нет нужных секретных ключей. А злоумышленник, прошив свои ключи, может получить и другие плюшки. Например, возможность прислать свой апдейт UEFI с трояном.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Троян в UEFI это намного хуже, чем любой руткит в винде. Потому что даже переустановка ОС (с чем более-менее грамотный юзер всё-таки сможет справится) не поможет, а только перепрошивка UEFI. А это, во-первых, может быть заблокировано (чтобы как раз не прошивали свои ключи), а, во-вторых, даже если и возможно, то на это способно достаточно малое количество юзеров.

KivApple ★★★★★
()
Ответ на: комментарий от Axon

Ты как ключи-то работают понимаешь? У производителя нет никаких приватных ключей, который он мог бы раскрыть. Но мнение имеем (c)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.