Oni su prijevodi dvaju postova koje je James Bottomley zauzeo na svom blogu. Prva objava objavljena je 1. veljače i zove se "LCA2013 i restrukturiranje sigurnog pokretanja"
Malo sam bio tih, pa je vrijeme da objavim novosti o tome što se događa sa sigurnim pokretačkim pokretačem Linux Foundation (posebno da je predstavljen na LCA2013). (Veza do slajdova)
Suština problema je u tome što je GregKH (programer jezgre Greg Kroah-Hartman) otkrio početkom prosinca da predloženi Pre-BootLoader neće raditi u svom trenutnom obliku s Gummibootom. To je bilo pomalo zastrašujuće jer je značilo da ne ispunjava misiju Linux Foundation-a da aktivira sve pokretačke programe. Razlog je u istraživanju bio jednostavan: Gummiboot je stvoren kako bi pokazao da možete napraviti mali, jednostavni bootloader koji će iskoristiti sve usluge dostupne na platformi UEFI, umjesto da bude masivni loader za učitavanje poput GRUB-a. Nažalost, to znači da kernele pokrećete pomoću funkcije BootServices-> LoadImage (), što znači da kernel koji se podiže mora proći provjere sigurnog pokretanja na UEFI platformi. Izvorno Pre-BootLoader, poput podmetač (Učitavač Mathewa Garretta), napisan je da koristi PE / Coff link učitavanje kako bi pobijedio sigurne provjere pokretanja. Na žalost, to znači da nešto što pokreće Pre-BootLoader mora također koristiti učitavanje veze kako bi pobijedilo provjere sigurnog pokretanja onoga što želi učitati i stoga Gummiboot, koji namjerno nije loader veze, neće raditi prema ovoj shemi.
Zato sam morao restrukturirati i prepisati: Problem je sada prešao s "kako stvoriti učitavač veza s potpisom Microsofta koji poštuje njihova pravila" na "kako aktivirati svu podređenu stranicu učitača za upotrebu funkcije BootServices-> LoadImage () na način da se pokoravam njihovoj politici. ' Srećom, postoji način da presretnete infrastrukturu za potpisivanje UEFI platforme instaliranjem vlastitog sigurnosnog protokola arhitekture. Nažalost, specifikacija inicijalizacije platforme zapravo nije dio UEFI specifikacije, ali srećom implementira je svaki sustav Windows 8 koji možete pronaći. Nova arhitektura presreće taj protokol i dodaje vlastitu sigurnosnu provjeru. Međutim, postoji i drugi problem: dok smo u povratnom pozivu sigurnosnog protokola arhitekture, ne posjedujemo nužno zaslon UEFI sustava, što čini potpuno nemogućim obavljanje korisničkog testa za autorizaciju izvršenja binarnog programa. Srećom, postoji neinteraktivni način za to, a to je mehanizam SUSE Machine Owner Key (MOK). Stoga se Linux Foundation Pre-BootLoader sada razvio da koristi standardne MOK varijable za pohranu autoriziranih binarnih hashova.
Rezultat svega ovoga je da sada možete koristiti Pre-BootLoader s Gummiboot-om (baš kao što je to učinjeno u demonstraciji na LCA2013). Da biste pokrenuli sustav, morate dodati 2 hasha: jedan za sam Gummiboot, a drugi za kernel koji želite pokrenuti, ali to je zapravo dobra stvar jer sada imate jednu sigurnosnu politiku koja kontrolira cijelu sekvencu pokretanja. I sam Gummiboot je zakrpan kako bi prepoznao pad zbog sigurnog pokretanja i prikazuje poruku koja vam govori koji hash trebate registrirati.
Napravit ću zaseban post objašnjavajući kako funkcionira nova arhitektura, ali smatrao sam da bi bilo bolje objasniti što se dogodilo prošli mjesec.
I ovaj drugi post koji je objavio jučer zove se "Pokrenuo Linux Foundation Secure Boot System"
Kao što je i obećano, ovdje je Linux Foundation Secure Boot System. Microsoft nam ga je zapravo objavio 6. veljače, ali s putovanjima, konferencijama i sastancima nisam imao vremena provjeriti sve do danas. Datoteke su:
PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Također stvorite pokretačku mini-USB sliku; (Morate ga instalirati na USB pomoću dd; slika ima GPT particije, tako da koristi cijeli disk). Ima EFI ljusku u kojoj treba biti jezgra i koristi gummiboot za njeno učitavanje. Možete ga pronaći ovdje (md5sum 7971231d133e41dd667a184c255b599f).Da biste koristili mini-USB sliku, morate unijeti hasheve za loader.efi (u mapu \ EFI \ BOOT) i shell.efi (u korijensku mapu). Uključuje i kopiju KeyTool.efi-a koju morate unijeti u hash za pokretanje.
Što se dogodilo s KeyTool.efi? Prvobitno će biti dio našeg potpisanog kompleta. Međutim, tijekom testiranja Microsoft je otkrio da bi se zbog pogreške na jednoj od UEFI platformi mogao koristiti za programsko uklanjanje ključa s platforme, što bi uništilo UEFI sigurnosni sustav. Dok to ne uspijemo riješiti (privatnog dobavljača imamo u petlji), odbijali su potpisati KeyTool.efi iako ga možete odobriti dodavanjem MOK varijabli ako ga želite pokrenuti.
Javite mi kako to ide jer me zanima prikupljanje povratnih informacija o tome što funkcionira, a što ne. Konkretno, zabrinut sam da poništavanje sigurnosnog protokola neće raditi na nekim platformama, pa me posebno zanima hoće li to funkcionirati kod njih.
Fuentes:
http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/
http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/
Odlučite jesu li to dobre ili loše vijesti.
Pa, ne vidim dugoročni utjecaj, ali za mene će mi biti cilj steći jedan od njih http://blog.linuxmint.com/?p=2055
Mislim da su vrlo skupi.
Postoje tvrtke koje prodaju računala bez unaprijed instaliranog operativnog sustava. Drugi vam omogućuju da odaberete između Ubuntu-a ili drugih i pošaljite ga svom domu spremno. Također možete kupiti dijelove i sami ih sastaviti te staviti operativni sustav koji želite.
U vašem gradu (GDL) postoji lanac prodavaonica računala koji prodaju računala bez unaprijed instaliranog operativnog sustava. Možete im staviti Linux.
Uvijek postoje mogućnosti. U ovom su slučaju udaljeni i vrlo su "skriveni" od uobičajenog korisnika. Ali za nas koji želimo Linux postoji, postoji.
U Latinskoj Americi nema toliko mogućnosti za korisnike jer one "posebne" tvrtke ovdje obično ne dosežu
awwnnn tužan, tužan .... taj prokleti UEFI je pravi problem
Prijavi pogrešku…. što se dogodilo? Zašto sam u svojim komentarima dobio logotip jabuke? Koristim midori, ali iz ubuntua, a ne iz maca: /
Pa, vrlo jednostavno, morate promijeniti korisničkog agenta.
Ovi se dodaci temelje na pretraživanju niza (tekstualnog niza), u ovom slučaju traže vaš sustav u korisničkom agentu, a srednji korisnički agent ima tekstualni niz koji također ima MacOS X, ne sjećam se jesu li Intel ili Mac OSX ili dva, ali prvo pronađite ovaj niz i povežite ga kao da je Mac. Prije nekog vremena programirao sam sličnu skriptu u php-u i drugom javascriptu i to je riješeno iz skripte, vidjevši da ne treba ništa nakon Mac OS X-a i slanje tog rezultata na midori varijablu, jer je to jedina stvar koja razlikuje korisničkog agenta koji koristi midori s onim Maca, ili ga također možemo promijeniti.
Pogledajte ovu stranicu s midori
http://whatsmyuseragent.com/
A korisnički agent nema nikakve veze s Linuxom
pozdravi
«Carlos-Xfce
U vašem gradu (GDL) postoji lanac prodavaonica računala koji prodaju računala bez unaprijed instaliranog operativnog sustava. Možete im staviti Linux. "
U to sam vrijeme pogledao i nisam pronašao samo veletrgovca koji mi je prodavao netbookove bez OS-a, ali samo to, bez računala ili laptopa, samo netbook.
Možete li reći ime lanca?
Ako se objavljivanje naziva lanca može pogrešno protumačiti i smatra se neželjenom poštom, bilo bi dobro pričekati da administratori daju svoje mišljenje o njemu.