Είναι οι μεταφράσεις δύο αναρτήσεων που ο Τζέιμς Μποτόμλεϊ έλαβε στο ιστολόγιό του. Η πρώτη ανάρτηση έγινε την 1η Φεβρουαρίου και ονομάζεται "LCA2013 and Restructuring the Secure Boot"
Ήμουν ήσυχος για λίγο, οπότε ήρθε η ώρα να ενημερώσω τι συμβαίνει με το Secure Boot Loader του Linux Foundation (ειδικά ότι εμφανίστηκε στο LCA2013). (Σύνδεση με τις διαφάνειες)
Η ουσία του προβλήματος είναι ότι ο GregKH (προγραμματιστής πυρήνα Greg Kroah-Hartman) ανακάλυψε στις αρχές Δεκεμβρίου ότι ο προτεινόμενος Pre-BootLoader δεν θα λειτουργούσε στην τρέχουσα μορφή του με το Gummiboot. Αυτό ήταν κάπως τρομακτικό γιατί σήμαινε ότι δεν εκπλήρωσε την αποστολή του Linux Foundation για ενεργοποίηση όλων των bootloaders. Στην έρευνα, ο λόγος ήταν απλός: Το Gummiboot δημιουργήθηκε για να δείξει ότι θα μπορούσατε να δημιουργήσετε ένα μικρό και απλό bootloader που θα εκμεταλλευόταν όλες τις διαθέσιμες υπηρεσίες στην πλατφόρμα UEFI αντί να είναι ένας τεράστιος φορτωτής συνδέσμων όπως το GRUB. Δυστυχώς, σημαίνει ότι εκκινείτε πυρήνες χρησιμοποιώντας τη συνάρτηση BootServices-> LoadImage (), που σημαίνει ότι ο πυρήνας που θα εκκινηθεί πρέπει να περάσει από τους ελέγχους ασφαλούς εκκίνησης στην πλατφόρμα UEFI. Αρχικά το Pre-BootLoader, όπως σφήνα (Το bootloader του Mathew Garrett), γράφτηκε για να χρησιμοποιήσει το PE / Coff link loading για να νικήσει τους ασφαλείς ελέγχους εκκίνησης. Δυστυχώς, αυτό σημαίνει ότι κάτι που εκτελείται από το Pre-BootLoader πρέπει επίσης να χρησιμοποιεί φόρτωση συνδέσμου για να νικήσει τους ελέγχους ασφαλούς εκκίνησης σε οτιδήποτε θέλει να φορτώσει και επομένως το Gummiboot, το οποίο σκόπιμα δεν είναι φορτωτής συνδέσμων, δεν θα λειτουργήσει κάτω από αυτό σχέδιο.
Γι 'αυτό έπρεπε να αναδιαρθρώσω και να ξαναγράψω: Το πρόβλημα τώρα πήγε από το "πώς να δημιουργήσετε ένα φορτωτή συνδέσμου που έχει υπογραφεί από τη Microsoft που συμμορφώνεται με τις πολιτικές τους" σε "πώς να επιτρέψετε σε όλα τα παιδιά του boot loader να χρησιμοποιούν τη συνάρτηση BootServices-> LoadImage () του τρόπος να υπακούουν στις πολιτικές τους. Ευτυχώς, υπάρχει ένας τρόπος να παρακολουθήσετε την υποδομή υπογραφής πλατφόρμας UEFI εγκαθιστώντας το δικό σας πρωτόκολλο ασφάλειας αρχιτεκτονικής. Δυστυχώς, η προδιαγραφή αρχικοποίησης πλατφόρμας δεν αποτελεί μέρος της προδιαγραφής UEFI, αλλά ευτυχώς εφαρμόζεται από κάθε σύστημα Windows 8 που μπορείτε να βρείτε. Η νέα αρχιτεκτονική παρεμποδίζει αυτό το πρωτόκολλο και προσθέτει τον δικό του έλεγχο ασφαλείας. Ωστόσο, υπάρχει ένα δεύτερο πρόβλημα: Ενώ βρισκόμαστε στην επανάκληση του πρωτοκόλλου ασφαλείας αρχιτεκτονικής, δεν διαθέτουμε απαραίτητα την οθόνη συστήματος UEFI, καθιστώντας εντελώς αδύνατο να κάνετε μια δοκιμή χρήστη για να εξουσιοδοτήσετε την εκτέλεση του δυαδικού. Ευτυχώς, υπάρχει ένας μη διαδραστικός τρόπος για να γίνει αυτό και αυτός είναι ο μηχανισμός SUSE Machine Owner Key (MOK). Επομένως, το Linux Foundation Pre-BootLoader εξελίχθηκε τώρα ώστε να χρησιμοποιεί τυπικές μεταβλητές MOK για την αποθήκευση εγκεκριμένων δυαδικών κατακερματισμών.
Το αποτέλεσμα όλων αυτών είναι ότι μπορείτε τώρα να χρησιμοποιήσετε το Pre-BootLoader με το Gummiboot (όπως ακριβώς έγινε στο demo στο LCA2013). Για εκκίνηση, πρέπει να προσθέσετε 2 κατακερματισμούς: το ένα για το ίδιο το Gummiboot και το άλλο για τον πυρήνα που θέλετε να εκκινήσετε, αλλά στην πραγματικότητα είναι καλό γιατί τώρα έχετε μια ενιαία πολιτική ασφαλείας που ελέγχει ολόκληρη την ακολουθία εκκίνησης. Το ίδιο το Gummiboot διορθώθηκε επίσης για να αναγνωρίσει ένα σφάλμα λόγω ασφαλούς εκκίνησης και εμφανίζει ένα μήνυμα που να σας λέει ποια κατακερματισμός πρέπει να εγγραφείτε.
Θα κάνω μια ξεχωριστή ανάρτηση για να εξηγήσω πώς λειτουργεί η νέα αρχιτεκτονική, αλλά σκέφτηκα ότι θα ήταν καλύτερο να εξηγήσω τι συνέβη τον περασμένο μήνα.
Και αυτή η δεύτερη ανάρτηση έκανε χθες και ονομάζεται "Ξεκίνησε το Linux Foundation Secure Boot System"
Όπως υποσχέθηκε, εδώ είναι το Linux Secure Boot System. Στην πραγματικότητα κυκλοφόρησε σε εμάς από τη Microsoft στις 6 Φεβρουαρίου, αλλά με τα ταξίδια, τα συνέδρια και τις συναντήσεις δεν είχα χρόνο να επικυρώσω τα πάντα μέχρι σήμερα. Τα αρχεία είναι:
PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Δημιουργήστε επίσης μια εικόνα με δυνατότητα εκκίνησης mini-USB. (Πρέπει να το εγκαταστήσετε στο USB χρησιμοποιώντας dd. Η εικόνα έχει διαμερίσματα GPT, οπότε χρησιμοποιεί ολόκληρο το δίσκο). Έχει ένα κέλυφος EFI όπου πρέπει να είναι ο πυρήνας και χρησιμοποιεί το gummiboot για να το φορτώσει. Μπορείτε να το βρείτε εδώ (md5sum 7971231d133e41dd667a184c255b599f).Για να χρησιμοποιήσετε την εικόνα mini-USB, πρέπει να εισαγάγετε τους κατακερματισμούς για το loader.efi (στο φάκελο \ EFI \ BOOT) και το shell.efi (στον ριζικό φάκελο). Περιλαμβάνει επίσης ένα αντίγραφο του KeyTool.efi, πρέπει να εισαγάγετε το hash για εκτέλεση.
Τι συνέβη στο KeyTool.efi; Αρχικά θα ήταν μέρος του υπογεγραμμένου κιτ μας. Ωστόσο, κατά τη διάρκεια των δοκιμών, η Microsoft ανακάλυψε ότι λόγω ενός σφάλματος σε μια από τις πλατφόρμες UEFI, θα μπορούσε να χρησιμοποιηθεί για την κατάργηση του κλειδιού πλατφόρμας μέσω προγραμματισμού, κάτι που θα καταστρέψει το σύστημα ασφαλείας UEFI. Μέχρι να μπορέσουμε να το λύσουμε (έχουμε τον ιδιωτικό πωλητή στο βρόχο), αρνήθηκαν να υπογράψουν το KeyTool.efi αν και μπορείτε να το εξουσιοδοτήσετε προσθέτοντας μεταβλητές MOK εάν θέλετε να το εκτελέσετε.
Επιτρέψτε μου να ξέρω πώς συμβαίνει αυτό, επειδή ενδιαφέρομαι να συγκεντρώσω σχόλια σχετικά με το τι λειτουργεί και τι όχι. Συγκεκριμένα, ανησυχώ ότι η παράκαμψη του πρωτοκόλλου ασφαλείας ενδέχεται να μην λειτουργεί σε ορισμένες πλατφόρμες, επομένως θέλω ιδιαίτερα να μάθω αν δεν λειτουργεί για αυτές.
Fuentes:
http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/
http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/
Αποφασίστε εάν είναι καλά ή κακά νέα.
Λοιπόν, δεν μπορώ να δω τον μακροπρόθεσμο αντίκτυπο, αλλά για μένα θα είναι ο στόχος μου να αποκτήσω ένα από αυτά http://blog.linuxmint.com/?p=2055
Νομίζω ότι είναι πολύ ακριβά.
Υπάρχουν εταιρείες που πωλούν υπολογιστές χωρίς προεγκατεστημένο λειτουργικό σύστημα. Άλλοι σάς επιτρέπουν να επιλέξετε μεταξύ του Ubuntu ή άλλων και να το στείλετε στο σπίτι σας έτοιμο. Μπορείτε επίσης να αγοράσετε τα ανταλλακτικά και να τα συναρμολογήσετε μόνοι σας και να βάλετε το λειτουργικό σύστημα που θέλετε.
Στην πόλη σας (GDL) υπάρχει μια αλυσίδα καταστημάτων υπολογιστών που πωλούν υπολογιστές χωρίς προεγκατεστημένο λειτουργικό σύστημα. Μπορείτε να βάλετε το Linux σε αυτά.
Υπάρχουν πάντα επιλογές. Σε αυτήν την περίπτωση, είναι απομακρυσμένα και πολύ "κρυμμένα" από τον κοινό χρήστη. Αλλά για όσους από εμάς θέλουμε το Linux, υπάρχει, υπάρχει.
Δεν υπάρχουν τόσες πολλές επιλογές για χρήστες στη Λατινική Αμερική, καθώς αυτές οι "ειδικές" εταιρείες συνήθως δεν φτάνουν εδώ 🙁
λυπημένος, λυπημένος…. ότι το καταραμένο UEFI είναι ένα πραγματικό πρόβλημα
Αναφορά σφάλματος…. τι συνέβη? Γιατί έχω λάβει το λογότυπο μήλου στα σχόλιά μου; Χρησιμοποιώ το midori, αλλά από το ubuntu, όχι από mac: /
Λοιπόν, πολύ απλό, πρέπει να αλλάξετε τον πράκτορα χρήστη.
Αυτές οι προσθήκες βασίζονται στην αναζήτηση μιας συμβολοσειράς (συμβολοσειρά κειμένου) σε αυτήν την περίπτωση αναζητούν το σύστημά σας στον πράκτορα χρήστη και ο πράκτορας χρήστη του midori έχει μια συμβολοσειρά κειμένου που έχει επίσης MacOS X, δεν θυμάμαι αν η Intel ή το Mac OSX ή το δύο, αλλά πρώτα βρήκα αυτήν τη συμβολοσειρά και τη συσχετίσω σαν να ήταν Mac. Πριν από λίγο καιρό προγραμματίσαμε ένα παρόμοιο σενάριο σε php και ένα άλλο javascript και αυτό επιλύεται από το σενάριο, βλέποντας ότι δεν παίρνει τίποτα μετά το Mac OS X και στέλνει το αποτέλεσμα στο η μεταβλητή midori, αφού είναι το μόνο πράγμα που διαφοροποιεί τον παράγοντα χρήστη που χρησιμοποιείται από το midori με αυτό του Mac, ή μπορούμε να το αλλάξουμε επίσης.
Ελέγξτε αυτόν τον ιστότοπο με το midori
http://whatsmyuseragent.com/
Και ο πράκτορας χρήστη δεν έχει καμία σχέση με το Linux
αφορά
«Carlos-Xfce
Στην πόλη σας (GDL) υπάρχει μια αλυσίδα καταστημάτων υπολογιστών που πωλούν υπολογιστές χωρίς προεγκατεστημένο λειτουργικό σύστημα. Μπορείτε να βάλετε το Linux σε αυτά. "
Εκείνη την εποχή κοίταξα και δεν βρήκα, μόνο χονδρέμπορος που μου πούλησε netbooks χωρίς λειτουργικό σύστημα, αλλά μόνο αυτό, χωρίς υπολογιστή ή φορητό υπολογιστή, μόνο netbook.
Μπορείτε να πείτε το όνομα της αλυσίδας;
Εάν η δημοσίευση του ονόματος της αλυσίδας θα μπορούσε να παρερμηνευθεί και θεωρείται ανεπιθύμητη, θα ήταν καλό να περιμένετε τους διαχειριστές να δώσουν τη γνώμη τους σχετικά με αυτό.