Микробағдарлама, кошмар 4 бөлім: Әтештерді сору сайысы

Ядролардың қауіпсіз жүктеуді төмен деңгейде басқаруын қалайтындығыңыздың себебі - бұл Microsoft кілттері жүйені бұзу үшін пайдаланылуы мүмкін, егер бұл орын алса, олар Microsoft кілтті өшіреді деп қорқады, сондықтан Linux дербес компьютерлері оларға рұқсат берсін. сол кілтпен жүгіріңіз (және оны ешкім қаламайды).

Мұның бәрі Дэвид Хоуэллстің сұрау салудан басталды, бұл Microsoft корпорациясы қол қойған екілік кілттерді қауіпсіз жүктеу режимінде жұмыс істейтін ядроға динамикалық түрде жүктеуге мүмкіндік берді. Көрпесі бар адам бұны мылжың деп ойлады және X.509 талдағышты жақсартқан жөн деп ойлады. Мэттью Гаррет тек қол қою құқығы бар және олар тек PE екілік файлдарына (портативті орындалатын бағдарламаларға) қол қояды деп жауап береді. Міне, Линус өткір тілін жіберіп:

Балалар, бұл әтеш соратын жарыс емес. Егер сіз PE екілік файлдарын талдағыңыз келсе, жалғастырыңыз. Егер Red Hat сізден сұрағысы келсе гарганта профунда Microsoft үшін бұл сіздің * проблемаңыз. Бұл менің қолдайтын ядроммен ешқандай байланысы жоқ. Сізде PE екілік файлын талдайтын, қолтаңбаларды тексеретін және алынған кілттерге өз кілтімен қол қоятын қолтаңба машинасы болуы өте маңызды. Олар қазірдің өзінде кодты жазды, құдайға бұйырды, сол тәртіпте. Неге маған көңіл бөлу керек? Неліктен ядро ​​«біз тек PE екілік файлдарына қол қоямыз» деген сияқты ақымақтықты беруі керек? Біз қол қою үшін стандарт болып табылатын X.509-ны қолдаймыз. Пайдаланушы жағынан оны сенімді машинада жасаңыз. Мұны ядрода жасауға ешқандай ақтау жоқ.

Матай жауап береді:

Сатушылар сенімді үшінші тарап қол қойған кілттерді әкелгісі келеді. Енді өлшейтін жалғыз - бұл Майкрософт, өйткені сатушылар Microsoft корпорациясының техникалық сипаттамаларына сүйеніп, қытырлақ микробағдарламадан гөрі жақсы көретін нәрсе. Эквивалент бұл тек Red Hat (немесе кез-келген нәрсе) бағдарламалық жасақтамаға қайта қол қою емес, сонымен қатар ол жоғарыдағы ядро ​​арқылы сенімді кілтпен осы кілттерге қайта қол қою болып табылады. Егер сіз сенімді қоғам мүшесі қайта қол қою қызметіне ие болса, әдепкі бойынша сенімді құпия сөзді алып жүруге дайын боласыз ба? Немесе сыртқы модульдерді шығарғысы келетін кез-келген адам ақымақ және бақытсыз болуға лайық деп ойлаймыз ба?

Линус кез-келген адамның қамын ойлайтынына күмәнданады деп жауап береді. Ядролық модульдерге Microsoft кілтімен қол қою ақымақтық. Сонымен қатар, Red Hat NVIDIA және AMD екілік модульдеріне қол қояды. Питер Джонс жоқ, Red Hat басқа модульге қол қоймайды дейді. Гаррет RHEL NVIDIA және AMD кілттеріне сүйенеді және олардың Microsoft корпорациясының қол қою қызметіне негізделуі әбден мүмкін дейді.

Техникалық детальдарға барғысы келмейтіндер үшін мен кідіртемін және ішінара және қатал тұжырым жасаймын:

Қауіпсіз жүктеудің барлық дамуы ақылға сыймады, бірақ аппараттық жабдықтаушылар (ең болмағанда ең үлкені) әлі де Майкрософтқа терең әсер еткісі келеді.

Сондықтан Линус келесі ұсыныстарды айтуға шешім қабылдады, сондықтан олар ұрысуды тоқтатады ……:

Мұны қорқынышпен кесіңіз.

Мен бұны ұсынар едім және оған негізделген ШЫНДЫҚ ҚАУІПСІЗДІК және ПАЙДАЛАНУШЫ БІРІНШІ ҚОЙЫҢЫЗ оның орнына «Майкрософтты қиянат жасау арқылы қызықтырайық» деген тәсіл.

Сондықтан Майкрософтқа ұнаудың орнына қауіпсіздікті қалай қосуға болатындығын көруге тырысайық:

- тарату өз модульдеріне қол қоюы керек ЖӘНЕ ЕШ НӘРСЕ әдепкі Бұл басқа модульдің де әдепкі бойынша жүктелуіне жол бермеуі керек, өйткені неге ұрыс керек? Microsoft фирмасының басқа нәрсеге не қатысы бар?

- басқа модульдерді жүктемес бұрын, көз жеткізіңіз пайдаланушыдан рұқсат сұраңыз. Консольде. Кілттерді қолданбай. Бұл ештеңе емес. Кілттер бұзылады. Зақымды шектеуге тырысыңыз, бірақ ең бастысы, пайдаланушыға бақылау беріңіз.

- Хостқа кездейсоқ кілттер сияқты нәрселерді анимациялау - қажет болған жағдайда ақымақ UEFI чектерімен өшірілген. Олар әлдеқайда қауіпсіз болады, сондықтан кез-келген адамға несиелік картаға сенетін қол қою органдарымен ірі компанияға негізделген сенімділіктің тамырына сүйенеді. Сол нәрселерді адамдарға үйретуге тырысыңыз. Адамдарды өздерінің (кездейсоқ) кілттерін жасауға шақырыңыз және оларды UEFI параметрлеріне қосыңыз (немесе жоқ: UEFI-дің бәрі қауіпсіздіктен гөрі бақылауға байланысты) және кілтпен бірге бір реттік қол қою сияқты әрекеттерді орындауға тырысыңыз. Басқаша айтқанда, «біз қолданушыдан үлкен ескертулермен нақты сұрап, сол модуль үшін өз кілтін жасауды ұмытпаңыз» сияқты қауіпсіздік түрін жандандырып көріңіз. Қауіпсіздік емес, нақты қауіпсіздік «біз қолданушыны басқарамыз».

Әрине, пайдаланушылар оны бұрап тастайтын болады. Олар NVIDIA екілік модульдерін және солардың бәрін жүктегілері келеді. Бірақ ол болсын SU шешім және астында SU Мұны Microsoft қалай жарылқау керектігін әлемге айтудың орнына бақылау.

Себебі бұл MS баталары туралы емес, туралы болуы керек ядро модульдеріне бата беретін қолданушы.

Шынымды айтсам, сіз кілтке қарсы фриктерден қорқасыз. Сіз «қауіпсіздік емес, басқару» фрагменттерін сатасыз. Барлық «MS сіздің машинаңызға ие» - бұл парольдерді қолданудың дұрыс емес әдісі.

Содан бастап жіп тынышталды ... және оны ұстанудың қажеті жоқ.

DesdeLinux достары. Бүгін мен өзімнің алғашқы мерейтойымды Linux блогында атап өтемін, бірақ бұл жерде дебют жасамадым, бірақ француз блогында сол кезде Ubuntu Cosillas деп аталды, ал бүгін LMDE Cosillas. 2 наурызда осы микробағдарламаның алғашқы тарауын жазған кезде мен осында жалғастырдым. Мені оқитын және оқитындардың барлығына, әсіресе Франное мен барлық Desdelinux қызметкерлеріне маған орын бергені үшін алғыс айтамын. Егер бұл жетілдірілген функционалды бағдарламалау курсынан өтпегенде және мен ghc-пен жұмыс істеу үшін линуксты қолдануды ұсынған әріптесім болмаса, мен, әрине, Linux-қа 3 қияр импорттайтын едім.

Мен осы сөйлеммен аяқтаймын: «Егер сіз өзіңіздің білімсіздігіңіз туралы айқайламасаңыз, онда сізді түзетуге ешкім шықпайды, сондықтан сіз қателескеніңізде дұрыс боласыз»

Ядролық пошта тізімінен тиісті хабарламалар:

https://lkml.org/lkml/2013/2/21/196

https://lkml.org/lkml/2013/2/21/228

https://lkml.org/lkml/2013/2/21/275

https://lkml.org/lkml/2013/2/25/487


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

11 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   Хуан Карлос дижо

    Мәселе мынада: егер ноутбук өндірушілері және басқалары Wintel-дің UEFI-нің артында тұрса (біз UEFI Intel-дің идеясы екенін ұмытпауымыз керек), және, ең нашар жағдайда, олардың барлығы оны өшіру мүмкіндігін қоспауға шешім қабылдаса, Linux дистрибьюторлары егер оларда қолтаңба болмаса, қара болып көрінеді, және менің ойымша, бұл RedHat-тағы адамдар көрді. Мен екі жыл ішінде не істейтіндерін көргім келеді, өйткені Linux кез-келген жаңа компьютерге қонбайды, себебі қолтаңбасы жоқ.

    1.    ҚХА дижо

      Ең нашар жағдайда, дистрибутивтер ядроға Microsoft қол қойған кілттермен қол қояды. Шындығында, бұл бірнеше адам қазірдің өзінде жасайды.
      Торвальдстің айтуынша, бұл әр дистрофияда шешілуі керек, өйткені ядро ​​мұны жасамайды. Бұл ең ақылға қонымды нәрсе, оның қайтарымы жоқ.

  2.   Павлоко дижо

    Линус - менің сүйікті шынайы тұлға. Оны Квентин Тарантиноның фильмінен алып, қоғамдастыққа басшылыққа алу сияқты. Сіз айтқандарыңызда өте дұрыс айтасыз.

  3.   Альф дижо

    LinuxMint машиналары UEFI / Secure жүктеуімен келеді? Маған қажет болғанда, біреуін сатып аламын деп талап етемін.

    Менің айналымым бір жасқа толды, ал басқасы керек болғанда, UEFI / Secure жүктелуі жақсы шешіледі немесе дұрыс орындалады немесе тиісті түрде жойылады деп ойлаймын, ха.

    1.    мерлин дебианит дижо

      Мен бұған шынымен күмәнданамын, бұл мүмкін емес, өйткені минтбокс линуксминт, федора, убунту және дебианмен бірге қолдануға арналған, өйткені оның сипаттамаларында айтылғандай, қос жүктеу болатын нәрсеге қауіпсіз жүктеу қою ақымақтық болар еді, немесе ол Ubuntu XD жағдайында ақысыз немесе орташа ақысыз бағдарламалық жасақтамаға арналған.

  4.   Нано дижо

    Бұл шыққаннан бері әрдайым дау тудыратын мәселе. Оның қалай алға жылжитыны қызықты және Альф ретінде менің ойымша, орта мерзімді перспективада жағдай жақсарады. Әрқашан қауіпсіз жүктеуді өшіруге мүмкіндік беретін өндірушілер бар және ThinkPenguin немесе System76 сияқты Linux-ты алдын ала орнатқан басқалары бар, уақыт өте келе таңдау туа бастайды деп үміттенемін ... Мен әрқашан артық көремін кез-келген басқа машинамен ойнауға кепілдік берілген Linux-пен 100% үйлесімді нәрсе сатып алу.

  5.   элав дижо

    Мен әлі күнге дейін осы UEFI және басқаларын шенанигандарды өте жақсы түсінбеймін .. Бок .. айтпақшы диазепан: Құттықтаймыз! Біз үшін сіздің осында болғаныңыз өте қуанышты.

  6.   Дэниел дижо

    Ақыр соңында біз таза серверлік жабдықты сатып аламыз, яғни олар бұл заттарды сол жерге тасымалдамаса.
    Ірі және маңызды серверлердің көпшілігі Linux жүйесінде жұмыс істейтін үлкен адам болуы керек және олардың көпшілігі (олардың өңделуіне байланысты) өте қауіпсіз, өйткені бұл қауіпсіздікті қамтамасыз ету зиянды бағдарламалық жасақтаманың бәрін жояды деп ойлауы керек.

  7.   Чарли-Браун дижо

    Әдеттегідей, мен Линустың алға тартқанымен өте келісемін, өйткені ол дұрыс айтқанындай, бұл UEFI тақырыбы «қауіпсіздік» емес, «басқару» туралы. Мен өз тарапымнан бұл қауіпсіздік механизміне мүлдем сенбеймін, егер менің қолыма UEFI бар компьютер түсіп кетсе, мен ең алдымен оны өшіріп, бұрынғыдай жалғастырамын. Екінші жағынан, мен жабдық өндірушілері UEFI-ді сөндіруге жол бермейді деп сенбеймін, өйткені олар нарықтағы үлесті жоғалту қаупі бар; тәуекелге баратын немесе ең болмағанда оны кейбір нақты модельдерде жасайтын адам болатындығына күмәнданбаймын, бірақ әрқашан шешімдер болады деп ойлаймын, бұл стероидтер туралы BIOS-тан басқа ештеңе жоқ екенін және жаңарту мүмкіндігімен ол «ашық» нұсқалармен әрқашан жасырын болады.

  8.   Alejandro дижо

    Менің білуімше, eufi тек win8 үшін жұмыс істейді, егер сіз қос жүктеу жүйесін қажет етсеңіз, өйткені оны BIOS-мен өшіре аласыз, егер сізде тек Linux бар болса және бұл опцияны BIOS-тан өшірсеңіз де маңызды емес және қажет емес мәселе туралы көп шуылдаңыз.

  9.   Фабри дижо

    Бұл тақырып мен үшін өте үлкен, бірақ менің жеке пікірім бойынша, Microsoft қуыршақтары Linux-дің қаншалықты жетілгенін көргенде оларды қара түспен көре бастады .... Уақыт басталғаннан бері олар ірі өндірушілерді қалай монополияға айналдырды, мен үшін сол қарғыс атқан қауіпсіз етікке қатысты қиындықтар неліктен ...... тіпті кейбір ірі немесе орта компанияларға басқа опцияларды қолданбай-ақ қояйын деп ойлаймын. көп болса, сонда мен келесі машинамды сатып аламын ... бұл сөзсіз 😉