خبران بخصوص محمل التمهيد

هما ترجمتان لمنشورتين نشرهما جيمس بوتوملي في مدونته. تم نشر التدوينة الأولى في 1 فبراير بعنوان "LCA2013 وإعادة هيكلة التمهيد الآمن"

كنت هادئًا بعض الشيء ، لذا فقد حان الوقت لتقديم تحديث حول ما يحدث مع أداة تحميل التمهيد الآمن من Linux Foundation (خاصةً أنها ظهرت في LCA2013). (ارتباط بالشرائح)

جوهر المشكلة هو أن GregKH (مطور النواة Greg Kroah-Hartman) اكتشف في أوائل ديسمبر أن برنامج Pre-BootLoader المقترح لن يعمل في شكله الحالي مع Gummiboot. كان هذا أمرًا شاقًا إلى حد ما لأنه يعني أنه لم يكن يحقق مهمة مؤسسة Linux المتمثلة في تنشيط جميع برامج تحميل الإقلاع. في البحث ، كان السبب بسيطًا: تم إنشاء Gummiboot لإثبات أنه يمكنك إنشاء محمل إقلاع صغير وبسيط يستفيد من جميع الخدمات المتاحة على النظام الأساسي UEFI بدلاً من أن يكون أداة تحميل رابط ضخمة مثل GRUB. لسوء الحظ ، فهذا يعني أنك تقوم بتمهيد النواة باستخدام وظيفة BootServices-> LoadImage () ، مما يعني أن النواة المراد تمهيدها يجب أن تخضع لفحوصات التمهيد الآمن على نظام UEFI الأساسي. في الأصل برنامج Pre-BootLoader ، مثل الرقائق (أداة تحميل ماثيو غاريت) ، تمت كتابتها لاستخدام تحميل رابط PE / Coff للتغلب على عمليات فحص التمهيد الآمن. لسوء الحظ ، هذا يعني أن شيئًا ما يتم تشغيله بواسطة Pre-BootLoader يجب أيضًا أن يستخدم رابط التحميل للتغلب على عمليات التحقق من التمهيد الآمن على أي شيء يريد تحميله ، وبالتالي لن يعمل Gummiboot ، الذي لا يعد أداة تحميل رابط عن عمد ، ضمن هذا مخطط.

لذلك اضطررت إلى إعادة الهيكلة وإعادة الكتابة: انتقلت المشكلة الآن من "كيفية إنشاء أداة تحميل رابط موقعة من Microsoft تلتزم بسياساتها" إلى "كيفية تمكين جميع الأطفال من محمل التمهيد من استخدام BootServices-> LoadImage () وظيفة طريقة لطاعة سياساتهم. لحسن الحظ ، هناك طريقة لاعتراض البنية التحتية لتوقيع النظام الأساسي UEFI عن طريق تثبيت بروتوكول أمان العمارة الخاص بك. لسوء الحظ ، فإن مواصفات تهيئة النظام الأساسي ليست في الواقع جزءًا من مواصفات UEFI ، ولكن لحسن الحظ يتم تنفيذها بواسطة كل نظام Windows 8 يمكنك العثور عليه. تعترض البنية الجديدة هذا البروتوكول وتضيف فحص الأمان الخاص بها. ومع ذلك ، هناك مشكلة ثانية: أثناء وجودنا في رد اتصال بروتوكول أمان البنية ، لا نمتلك بالضرورة شاشة نظام UEFI ، مما يجعل من المستحيل تمامًا إجراء اختبار المستخدم للسماح بتنفيذ الثنائي. لحسن الحظ ، هناك طريقة غير تفاعلية للقيام بذلك وهي آلية مفتاح مالك آلة SUSE (MOK). لذلك ، تطور Linux Foundation Pre-BootLoader الآن لاستخدام متغيرات MOK القياسية لتخزين تجزئات ثنائية معتمدة.

نتيجة كل هذا هو أنه يمكنك الآن استخدام Pre-BootLoader مع Gummiboot (تمامًا كما حدث في العرض التوضيحي في LCA2013). للتمهيد ، يجب عليك إضافة تجزئين: أحدهما لـ Gummiboot نفسه والآخر للنواة التي تريد تشغيلها ، ولكنه في الحقيقة أمر جيد لأنه لديك الآن سياسة أمان واحدة تتحكم في تسلسل التمهيد بالكامل. تم أيضًا تصحيح Gummiboot نفسه للتعرف على التعطل بسبب التمهيد الآمن ويعرض رسالة تخبرك بالتجزئة التي يجب تسجيلها.

سأقوم بعمل منشور منفصل لشرح كيفية عمل الهندسة المعمارية الجديدة ، لكنني اعتقدت أنه سيكون من الأفضل شرح ما حدث الشهر الماضي.

وهذه التدوينة الثانية التي قام بها أمس وتسمى "إطلاق نظام التمهيد الآمن لمؤسسة Linux".

كما وعدت ، ها هو Linux Foundation Secure Boot System. تم إصداره إلينا بالفعل من قبل Microsoft في 6 فبراير ، ولكن مع الرحلات والمؤتمرات والاجتماعات لم يكن لدي الوقت للتحقق من صحة كل شيء حتى اليوم. الملفات هي:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
قم أيضًا بإنشاء صورة USB صغيرة قابلة للتمهيد ؛ (يجب عليك تثبيته على USB باستخدام dd ؛ تحتوي الصورة على أقسام GPT ، لذا فهي تستخدم القرص بأكمله). يحتوي على غلاف EFI حيث يجب أن تكون النواة ويستخدم gummiboot لتحميله. يمكنك العثور عليها هنا (md5sum 7971231d133e41dd667a184c255b599f).

لاستخدام صورة mini-USB ، يجب عليك إدخال التجزئات الخاصة بـ loader.efi (في المجلد \ EFI \ BOOT) و shell.efi (في المجلد الجذر). يتضمن أيضًا نسخة من KeyTool.efi ، يجب عليك إدخال التجزئة للتشغيل.

ماذا حدث لـ KeyTool.efi؟ كان في الأصل أن يكون جزءًا من مجموعة أدواتنا الموقعة. ومع ذلك ، أثناء الاختبار ، اكتشفت Microsoft أنه نظرًا لوجود خطأ في أحد أنظمة UEFI الأساسية ، يمكن استخدامه لإزالة مفتاح النظام الأساسي برمجيًا ، مما قد يؤدي إلى تدمير نظام أمان UEFI. حتى نتمكن من حل هذا (لدينا البائع الخاص في الحلقة) ، فقد رفضوا التوقيع على KeyTool.efi على الرغم من أنه يمكنك تفويضه عن طريق إضافة متغيرات MOK إذا كنت تريد تشغيله.

اسمحوا لي أن أعرف كيف تسير الأمور لأنني مهتم بجمع التعليقات حول ما يصلح وما لا يصلح. على وجه الخصوص ، أشعر بالقلق من أن تجاوز بروتوكول الأمان قد لا يعمل على بعض الأنظمة الأساسية ، لذلك أرغب بشكل خاص في معرفة ما إذا كان لا يعمل معهم.

فوينتس:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

قرر ما إذا كانت أخبارًا جيدة أم سيئة.


10 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   الف قال

    حسنًا ، لا يمكنني رؤية التأثير طويل المدى ، ولكن بالنسبة لي سيكون هدفي هو الحصول على واحد من هؤلاء http://blog.linuxmint.com/?p=2055

    1.    جيسكارد قال

      إنها باهظة الثمن ، على ما أعتقد.

    2.    كارلوس إكسفس قال

      هناك شركات تبيع أجهزة كمبيوتر بدون نظام تشغيل مثبت مسبقًا. يسمح لك الآخرون بالاختيار بين Ubuntu أو غيرهم وإرساله إلى منزلك جاهزًا. يمكنك أيضًا شراء الأجزاء وتجميعها بنفسك ووضع نظام التشغيل الذي تريده.

      يوجد في مدينتك (GDL) سلسلة من متاجر أجهزة الكمبيوتر التي تبيع أجهزة كمبيوتر بدون نظام تشغيل مثبت مسبقًا. يمكنك وضع Linux عليها.

      هناك دائما خيارات. في هذه الحالة ، تكون بعيدة و "مخفية" جدًا عن المستخدم العادي. لكن لمن يريد لينكس منا ، هناك ، هناك.

      1.    قوس قزح قال

        لا يوجد الكثير من الخيارات للمستخدمين في أمريكا اللاتينية لأن هذه الشركات "الخاصة" لا تصل عادةً إلى هنا 🙁

        1.    أبيب91 قال

          عونن حزين ، حزين…. أن UEFI اللعين يمثل مشكلة حقيقية

          1.    أبيب91 قال

            تقرير خطأ…. ماذا حدث؟ لماذا حصلت على شعار Apple في تعليقاتي؟ أنا أستخدم ميدوري ، ولكن من أوبونتو ، وليس من ماك: /

          2.    بانديف 92 قال

            حسنًا ، بسيط جدًا ، يجب عليك تغيير وكيل المستخدم.

  2.   داميان ريفيرا قال

    تستند هذه المكونات الإضافية إلى البحث عن سلسلة (سلسلة نصية) في هذه الحالة ، فهي تبحث عن نظامك في وكيل المستخدم ويكون لدى وكيل مستخدم midori سلسلة نصية تحتوي أيضًا على MacOS X ، ولا أتذكر ما إذا كانت intel أو Mac OSX أو اثنان ، ولكن أولاً ابحث عن هذه السلسلة وربطها كما لو كانت Mac. منذ بعض الوقت ، قمت ببرمجة نص مشابه في php وجافا سكريبت آخر ، وتم حل هذا من النص ، مع ملاحظة أنه لا يأخذ أي شيء بعد نظام التشغيل Mac OS X وإرسال هذه النتيجة إلى متغير midori ، لأنه الشيء الوحيد الذي يميز وكيل المستخدم الذي تستخدمه midori عن متغير Mac ، أو يمكننا تغييره أيضًا.

    تحقق من هذا الموقع مع ميدوري

    http://whatsmyuseragent.com/

    ولا علاقة لوكيل المستخدم بلينكس

    تحياتي

  3.   الف قال

    «كارلوس إكسفس
    يوجد في مدينتك (GDL) سلسلة من متاجر أجهزة الكمبيوتر التي تبيع أجهزة كمبيوتر بدون نظام تشغيل مثبت مسبقًا. يمكنك وضع لينكس عليها ".

    في ذلك الوقت ، بحثت ولم أجد ، فقط تاجر جملة باع لي حواسيب محمولة بدون نظام تشغيل ، ولكن هذا فقط ، لا كمبيوتر شخصي أو كمبيوتر محمول ، فقط نتبووك.

    هل يمكنك أن تقول اسم السلسلة؟

    1.    الف قال

      إذا كان من الممكن إساءة تفسير نشر اسم السلسلة ، وتم اعتباره بريدًا عشوائيًا ، فسيكون من الجيد انتظار المسؤولين لإبداء رأيهم فيه.