Dalis susirūpinimo, kad norite, kad branduolys saugiai paleistų žemai, yra dėl to, kad „Microsoft“ raktai gali būti naudojami nulaužti sistemą, o jei taip atsitiks, jie bijo, kad „Microsoft“ išjungs raktą, taigi ir „Linux“ kompiuterius. paleisti su tuo raktu (ir niekas to nenori).
Viskas prasidėjo nuo Davido Howellso užklausos, leidžiančios dinamiškai įkelti „Microsoft“ pasirašytus dvejetainius raktus į branduolį, veikiantį saugiu įkrovos režimu. Tas, kuris turėjo antklodę, manė, kad tai nesąmonė ir kad geriau būtų patobulinti X.509 analizatorių. Matthew Garrettas atsako, kad yra tik viena pasirašymo institucija ir kad jie pasirašo tik PE dvejetainius failus (nešiojamus vykdomuosius failus). Ir čia Linusas paleidžia aštrų liežuvį ir sako:
Vaikinai, tai nėra gaidžio čiulpimo varžybos. Jei norite išanalizuoti PE dvejetainius failus, tęskite. Jei „Red Hat“ nori jūsų paklausti giliai gerklė „Microsoft“ tai * jūsų * problema. Tai neturi nieko bendro su mano palaikomu branduoliu. Jums yra nereikšminga turėti pasirašymo mašiną, kuri analizuoja PE dvejetainį, patikrina parašus ir pasirašo gautus raktus savo raktu. Jie jau parašė kodą, Dieve, tai ta prakeikta tvarka. Kodėl man turėtų rūpėti? Kodėl branduolys turėtų duoti tokį šūdą, kaip „mes pasirašome tik PE dvejetainius failus“? Mes palaikome X.509, kuris yra pasirašymo standartas. Darykite tai iš vartotojo pusės patikimoje mašinoje. Branduolyje nėra pateisinimo.
Matthew atsako:
Pardavėjai nori atsinešti raktus, pasirašytus patikimos trečiosios šalies. Dabar vienintelis matuojantis yra „Microsoft“, nes, matyt, vienintelis dalykas, kurį pardavėjai mėgsta labiau nei šlykšti programinė įranga, yra „Microsoft“ specifikacijų laikymasis. Ekvivalentas yra ne tik tai, kad „Red Hat“ (ar bet kas kitas) iš naujo pasirašo tuos raktus programiškai, bet ir tuos raktus iš naujo pasirašo patikimas raktas, kurį teikia aukštesnio lygio branduolys. Ar pagal nutylėjimą norėtumėte nešiotis patikimą raktą, jei patikimos visuomenės narys teikia pakartotinio pasirašymo paslaugą? Ar mes manome, kad kiekvienas, norintis paleisti išorinius modulius, yra idiotas ir nusipelno būti apgailėtinas?
Linusas atsako, kad abejoja, ar kam nors rūpi. Kad jau kvaila pasirašyti branduolio modulius „Microsoft“ raktu. Plius „Red Hat“ pasirašys dvejetainius NVIDIA ir AMD modulius. Peteris Jonesas sako, kad ne, „Red Hat“ nepasirašys jokio kito sukurto modulio. Garretas priduria, kad RHEL galiausiai pasikliaus „NVIDIA“ ir „AMD“ klavišais ir kad labai tikėtina, kad jie bus pagrįsti „Microsoft“ pasirašymo paslauga.
Čia aš sustabdau ir apibendrinu dalinį ir žiaurų požiūrį tiems, kurie nenori gilintis į technines detales:
Visa plėtra, susijusi su saugiu įkrovos įrenginiu, išprotėjo, bet dėl to, kad aparatinės įrangos tiekėjai (bent jau didžiausi) vis dar nori gilinti „Microsoft“.
Taigi Linas nusprendė pateikti šiuos pasiūlymus, kad jie nustotų sušikti ...
Nupjaukite jį baugindami.
Tai aš ir siūlyčiau, ir tai remiuosi TIKRA SAUGA ir PIRMAI ĮDĖKITE VARTOTOJĄ vietoj jo požiūrio „leiskime sau leisti„ Microsoft “darant šūdą“.
Taigi, užuot patikę „Microsoft“, pabandykime sužinoti, kaip iš tikrųjų galime padidinti saugumą:
- Distro turi pasirašyti savo modulius IR NIEKO DAUGIAU numatytas. Pagal numatytuosius nustatymus taip pat neturėtų būti leidžiama įkelti jokio kito modulio, nes kodėl gi tai turėtų? O ką, po velnių, turi „Microsoft“ įmonė su kuo nors kitu?
- prieš įkeldami kitus trečiųjų šalių modulius, įsitikinkite paprašykite vartotojo leidimo. Konsolėje. Nenaudojant klavišų. Nieko tokio. Raktai bus pažeisti. Pabandykite sumažinti žalą, bet dar svarbiau - leiskite vartotojui kontroliuoti.
- Animuokite tokius dalykus kaip atsitiktiniai raktai vienam kompiuteriui - su kvailais UEFI patikrinimais, jei reikia, išjungtas. Jie beveik neabejotinai bus saugesni, todėl pasikliaudami kažkokia beprotiška pasitikėjimo šaknimi, paremta didele įmone, o pasirašiusios institucijos pasitiki visais, turinčiais kreditinę kortelę. Pabandykite tų dalykų išmokyti žmones. Paraginkite žmones susikurti savo (atsitiktinius) raktus ir pridėti juos prie savo UEFI nustatymų (arba ne: viskas, kas susiję su UEFI, labiau susijusi su valdymu, o ne su saugumu), ir stengtis daryti tokius dalykus, kaip vienkartinis pasirašymas, kai raktas yra išmestas. Kitaip tariant, pabandykite animuoti tokį saugumą, kaip „mes būtinai paprašome vartotojo aiškiai įspėti ir sukurti savo raktą tam konkrečiam moduliui“. Tikras saugumas, o ne saugumas „mes valdome vartotoją“.
Aišku, vartotojai taip pat ketina ją dulkinti. Jie norės įkelti NVIDIA dvejetainius modulius ir visa tai. Bet tebūnie SU sprendimą ir pagal SU kontrolę, užuot pasakojęs pasauliui, kaip tai turėtų palaiminti „Microsoft“.
Nes tai turėtų būti ne apie MS palaiminimus, bet apie vartotojas palaiminęs branduolio modulius.
Sąžiningai, tu esi tai, ko bijo beprotiški antrakčiai. Jūs parduodate „valdymo, o ne saugumo“ programinę įrangą. Visi „MS priklauso jūsų mašina“ yra tik neteisingas slaptažodžių naudojimo būdas.
Nuo tada siūlas nurimo ... ir sekti neverta.
Draugai DesdeLinux. Šiandien švenčiu savo pirmąjį jubiliejų kaip Linux tinklaraščio redaktorius, nepaisant to, kad debiutavau ne čia, o Frannoe tinklaraštyje, kuris tuo metu vadinosi Ubuntu Cosillas ir šiandien yra LMDE Cosillas. Ir tai buvo kovo 2 d., kai parašiau pirmąjį šios programinės įrangos sagos skyrių, kurį vėliau tęsiau čia. Norėčiau padėkoti visiems, kurie mane skaito ir skaitė, ypač Frannoe ir visam jos personalui Desdelinux už tai, kad sukūrė man vietą. Jei ne išklausiau pažangaus funkcinio programavimo kursą ir ne kolega, kuris man pasiūlė naudoti Linux dirbti su ghc, tikrai vis tiek domėčiau viską apie Linux.
Baigsiu šiuo sakiniu: „Jei nešauksi savo nemokšiškumo, niekas neišeis tavęs taisyti, todėl būsi teisus klydamas“
Atitinkami pranešimai iš branduolio laiškų sąrašo:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Klausimas yra tas, kad jei nešiojamųjų kompiuterių gamintojai ir kiti neabejotinai atsilieka nuo Wintelio UEFI (neturime pamiršti, kad UEFI yra „Intel“ idėja), o blogiausiu atveju jie visi nusprendžia neįtraukti galimybės jo išjungti, „Linux“ distros yra atrodys juoda, jei jie neturi parašo, ir aš manau, kad tai pastebėjo „RedHat“ žmonės. Noriu sužinoti, ką jie darys po poros metų, kai „Linux“ negalima įdiegti jokiame naujame kompiuteryje, nes jis neturi parašo.
Blogiausiu atveju paskirstymai pasirašys branduolį su „Microsoft“ pasirašytais raktais. Tiesą sakant, tai jau daro keli.
Tai, ką sako Torvaldsas, reikia išspręsti kiekvienu platintoju, nes branduolys to nedaro. Ir tai yra pats protingiausias dalykas, jis neturi grąžos.
Linusas yra mano mėgstamiausia realaus pasaulio asmenybė. Tarsi jis būtų išimtas iš Quentino Tarantino filmo ir paskirtas vadovauti bendruomenei. Jūs esate visiškai teisus kalbėdamas.
O kaip su „LinuxMint“ mašinomis, ar jos yra su „UEFI / Secure boot“? Aš reikalauju, kad kai man to prireiks, aš nusipirksiu vieną iš jų.
Mano ratas yra metų amžiaus, kol man prireiks dar vieno, manau, kad UEFI / „Secure“ įkrovos dalykas jau bus gerai išspręstas, tinkamai įgyvendintas arba tinkamai pašalintas, ha.
Aš tikrai abejoju, tai neįmanoma, nes nors „Mintbox“ yra skirtas naudoti su „Linuxuxmint“, „fedora“, „ubuntu“ ir „debian“, kaip sakoma specifikacijose, todėl būtų kvaila saugų įkrovą įdėti į tai, kas tikrai turės „dualboot“, arba jis skirtas nemokamai arba vidutiniškai laisvai programinei įrangai, jei tai yra „Ubuntu XD“.
Na, tai yra klausimas, dėl kurio atsiradimo visada kilo ginčų. Įdomu stebėti, kaip jis progresuoja, ir būdamas Alfu, manau, kad vidutinės trukmės laikotarpiu viskas pagerės. Yra gamintojų, kurie visada leis išjungti saugų įkrovą, ir kiti, kurie jau turi iš anksto įdiegtą „Linux“, pvz., „ThinkPenguin“ ar „System76“, tikiuosi, kad laikui bėgant vis daugiau gims kaip pasirinkimas ... Aš visada norėčiau jei norite nusipirkti tai, kas 100% suderinama su „Linux“, garantuotai žaisite juos su bet kuria kita mašina.
Aš vis dar nesuprantu šenaniganų šitų UEFI ir kitų .. Šūdas .. beje, diazepanas: Sveikiname! Mums malonu jus turėti čia.
Galų gale mes nusipirksime gryną serverio įrangą, tai yra, jei jie neveiks šio šūdo ten.
Tai turėtų būti didelis žmogus, kad dauguma didelių ir kritinių serverių veikia „Linux“ sistemoje, o daugelis jų (priklauso nuo jų tvarkymo) yra ypač saugūs, tarsi manant, kad šis saugumo potraukis nužudys visą tą kenkėjišką programinę įrangą.
Kaip visada, aš LABAI sutinku su tuo, ką pateikia Linus, kaip jis teisingai sako, ši UEFI tema yra labiau susijusi su „kontrole“, o ne su „saugumu“. Savo ruožtu aš visiškai nepasitikiu šiuo tariamu saugumo mechanizmu ir jei į mano rankas pateks kompiuteris su UEFI, pirmiausia padarysiu jį išjungdamas ir tęsiu kaip anksčiau. Kita vertus, nemanau, kad įrangos gamintojai neleis išjungti UEFI, nes rizikuotų prarasti rinkos dalį; kad atsiras kas nors, kuris rizikuoja ar bent jau daro kai kuriuose konkrečiuose modeliuose, aš neabejoju, bet manau, kad visada bus sprendimų, atminkite, kad tai ne kas kita, kaip steroidų BIOS ir galimybė atnaujinti tai su „atviromis“ versijomis visada bus latentinė.
Kiek žinau, „eufi“ veikia tik „Win8“, jei norite dvigubos įkrovos sistemos, nes galite išjungti „BIOS“, taigi nesvarbu, ar turite tik „Linux“, ir išjunkite šią parinktį iš „BIOS“ ir nereikia būti tiek šurmulio šia tema.
Ši tema man yra šiek tiek didelė, tačiau asmeniškai išskaičiuoju, kad „Microsoft“ marionetės jas matė juodas, kai pamatė, koks brandus yra „Linux“. Kaip jie monopolizuoja didžiuosius gamintojus nuo senų laikų, man aišku, kodėl tiek daug problemų dėl to prakeikto saugaus įkrovos ... Manau, kad net kai kurioms didelėms ar vidutinėms įmonėms aš pasirinkčiau kitas galimybes be tikėdamasis daugiau ir ten nusipirksiu savo kitą mašiną ... tai tikrai 😉