Tai yra dviejų įrašų, kuriuos Jamesas Bottomley paskelbė savo tinklaraštyje, vertimai. Pirmasis įrašas buvo paskelbtas vasario 1 d. Ir vadinamas „LCA2013 ir saugaus įkrovos pertvarkymas“.
Truputį buvau tylus, todėl atėjo laikas pateikti naujienas apie tai, kas vyksta su „Linux Foundation“ saugiu įkrovos įkrovikliu (ypač, kad tai buvo pristatyta LCA2013). (Nuoroda į skaidres)
Problemos esmė ta, kad GregKH (branduolio kūrėjas Gregas Kroah-Hartmanas) gruodžio pradžioje atrado, kad siūlomas „Pre-BootLoader“ neveiks dabartine forma su „Gummiboot“. Tai buvo šiek tiek bauginanti, nes tai reiškė, kad jis nevykdo „Linux Foundation“ misijos suaktyvinti visus įkrovos įrenginius. Tyrimo metu priežastis buvo paprasta: „Gummiboot“ buvo sukurtas siekiant parodyti, kad galite sukurti mažą ir paprastą įkrovos įrankį, kuris pasinaudotų visomis UEFI platformoje teikiamomis paslaugomis, o ne būtų masyvus nuorodų krautuvas, pvz., GRUB. Deja, tai reiškia, kad jūs įkraunate branduolius naudodami funkciją „BootServices-> LoadImage ()“, o tai reiškia, kad paleistinas branduolys turi atlikti saugius įkrovos patikrinimus UEFI platformoje. Iš pradžių buvo panašus į „Pre-BootLoader“ shim (Mathewo Garretto įkrovos programa), buvo parašyta naudoti PE / Coff nuorodų įkėlimą, norint nugalėti saugius įkrovos patikrinimus. Deja, tai reiškia, kad kažkas, kurį valdo „Pre-BootLoader“, taip pat turi naudoti nuorodų įkėlimą, kad įveiktų saugų įkrovos tikrinimą viskam, ką nori įkelti, todėl „Gummiboot“, kuris sąmoningai nėra nuorodų krautuvas, pagal šią schemą neveiks.
Taigi turėjau pertvarkyti ir perrašyti: Dabar problema kilo nuo „kaip sukurti„ Microsoft “pasirašytą nuorodų krautuvą, kuris laikosi jų politikos“, iki „kaip leisti visiems įkrovos vaikams naudotis„ BootServices-> LoadImage () “funkcija būdas paklusti jų politikai. Laimei, yra būdas perimti UEFI platformos pasirašymo infrastruktūrą įdiegiant savo architektūros saugos protokolą. Deja, platformos inicializavimo specifikacija iš tikrųjų nėra UEFI specifikacijos dalis, tačiau, laimei, ją įgyvendina kiekviena „Windows 8“ sistema, kurią galite rasti. Naujoji architektūra perima tą protokolą ir prideda savo saugumo patikrą. Tačiau yra ir antra problema: kol esame architektūros saugos protokolo atgaliniame skambutyje, nebūtinai mums priklauso UEFI sistemos ekranas, todėl visiškai neįmanoma atlikti vartotojo testo, leidžiančio vykdyti dvejetainį failą. Laimei, yra neinteraktyvus būdas tai padaryti - tai yra „SUSE Machine Owner Key“ (MOK) mechanizmas. Todėl „Linux Foundation Pre-BootLoader“ dabar sukūrė standartinius MOK kintamuosius, kad saugotų autorizuotus dvejetainius maišus.
Visa tai yra ta, kad dabar galite naudoti „Pre-BootLoader“ su „Gummiboot“ (kaip tai buvo padaryta demonstracijoje LCA2013). Norėdami paleisti, turite pridėti 2 maišos: vieną pačiam „Gummiboot“, o kitą - branduoliui, kurį norite paleisti, tačiau iš tikrųjų tai yra geras dalykas, nes dabar jūs turite vieną saugos politiką, valdančią visą įkrovos seką. Pats „Gummiboot“ buvo pataisytas, kad atpažintų avariją dėl saugaus įkrovos, ir parodo pranešimą, kuriame nurodoma, kurią maišos reikia užregistruoti.
Padarysiu atskirą įrašą, kuriame paaiškinsiu, kaip veikia naujoji architektūra, bet maniau, kad geriau būtų paaiškinti, kas nutiko praėjusį mėnesį.
Šis antrasis įrašas, kurį jis padarė vakar, vadinasi „Paleista„ Linux Foundation Secure Boot System ““
Kaip žadėta, čia yra „Linux Foundation Secure Boot“ sistema. Tai iš tikrųjų mums išleido „Microsoft“ vasario 6 d., Tačiau su kelionėmis, konferencijomis ir susitikimais iki šiandien neturėjau laiko viską patvirtinti. Failai yra:
„PreLoader.efi“ (md5sum 4f7a4f566781869d252a09dc84923a82)
„HashTool.efi“ (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Taip pat sukurkite įkeliamą mini-USB vaizdą; (Turite jį įdiegti į USB naudodami „dd“; paveikslėlyje yra GPT skaidiniai, todėl naudojamas visas diskas). Jis turi EFI apvalkalą, kuriame turėtų būti branduolys, ir naudoja jį „gummiboot“. Jį rasite čia (md5sum 7971231d133e41dd667a184c255b599f).Norėdami naudoti mini-USB atvaizdą, turite įvesti loader.efi (aplanke \ EFI \ BOOT) ir shell.efi (šakniniame aplanke) maišos. Jame taip pat yra „KeyTool.efi“ kopija, norėdami paleisti, turite įvesti maišos.
Kas nutiko „KeyTool.efi“? Iš pradžių tai buvo mūsų pasirašyto rinkinio dalis. Tačiau bandymo metu „Microsoft“ atrado, kad dėl vienos iš UEFI platformų klaidos ją galima naudoti programiniam platformos rakto pašalinimui, o tai sugadintų UEFI saugos sistemą. Kol mes negalime to išspręsti (mes turime privatų pardavėją cikle), jie atsisakė pasirašyti „KeyTool.efi“, nors jūs galite tai įgalioti pridėdami MOK kintamuosius, jei norite paleisti.
Praneškite man, kaip tai vyksta, nes noriu rinkti atsiliepimus apie tai, kas veikia, o kas ne. Visų pirma, man kelia nerimą tai, kad saugos protokolo nepaisymas neveikia kai kuriose platformose, todėl ypač noriu sužinoti, ar jis neveikia joms.
Šaltiniai:
http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/
http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/
Nuspręskite, ar tai gera, ar bloga žinia.
Na, aš nematau ilgalaikio poveikio, bet man bus mano tikslas įsigyti vieną iš jų http://blog.linuxmint.com/?p=2055
Jie, manau, yra labai brangūs.
Yra bendrovių, kurios parduoda kompiuterius be iš anksto įdiegtos operacinės sistemos. Kiti leidžia jums pasirinkti tarp „Ubuntu“ ar kitų ir nusiųsti jį į namus paruoštą. Taip pat galite nusipirkti detales ir patys jas surinkti bei įdėti norimą operacinę sistemą.
Jūsų mieste (LDK) yra kompiuterių parduotuvių tinklas, kuris parduoda kompiuterius be iš anksto įdiegtos operacinės sistemos. Galite įdėti į juos „Linux“.
Visada yra galimybių. Šiuo atveju jie yra nutolę ir labai „paslėpti“ nuo įprasto vartotojo. Bet tiems iš mūsų, kurie nori „Linux“, yra, yra.
Lotynų Amerikoje vartotojams nėra tiek daug galimybių, nes šios „specialiosios“ kompanijos paprastai čia nepasiekia 🙁
awwnnn liūdna, liūdna .... tas prakeiktas UEFI yra tikra problema
Pranešti apie klaidą…. kas nutiko? Kodėl komentaruose gavau obuolio logotipą? Aš naudoju „midori“, bet iš „ubuntu“, ne iš „Mac“: /
Na, labai paprasta, turite pakeisti vartotojo agentą.
Šie papildiniai yra pagrįsti ieškant eilutės (teksto eilutės), šiuo atveju jie ieško jūsų sistemos vartotojo agente, o „midori“ vartotojo agentas turi tekstinę eilutę, kurioje taip pat yra „MacOS X“, nepamenu, ar „Intel“, ar „Mac OSX“ arba abu, bet pirmiausia suraskite šią eilutę ir susiekite ją taip, tarsi tai būtų „Mac“. Prieš kurį laiką aš užprogramavau panašų scenarijų php ir dar vieną „javascript“ ir tai išsprendžiama iš scenarijaus, matant, kad po „Mac OS X“ nieko nereikia. ir išsiųsti šį rezultatą į „midori“ kintamąjį, nes tai yra vienintelis dalykas, kuris išskiria midori naudojamą vartotojo agentą nuo „Mac“, arba mes taip pat galime jį pakeisti.
Patikrinkite šią svetainę su „midori“
http://whatsmyuseragent.com/
Vartotojo agentas neturi nieko bendro su „Linux“
saludos
„Carlos-Xfce
Jūsų mieste (LDK) yra kompiuterių parduotuvių tinklas, kuris parduoda kompiuterius be iš anksto įdiegtos operacinės sistemos. Galite į juos įdėti „Linux“.
Tuo metu aš ieškojau ir neradau tik didmenininko, kuris man pardavė „netbooks“ be OS, bet tik tai, kad nėra jokio kompiuterio ar nešiojamojo kompiuterio, tik „netbook“.
Ar galėtumėte pasakyti grandinės pavadinimą?
Jei grandinės pavadinimo paskelbimas gali būti klaidingai suprantamas ir laikomas šlamštu, būtų gerai palaukti, kol administratoriai pareikš savo nuomonę.