Gre za prevodi dveh objav, ki jih je James Bottomley objavil na svojem blogu. Prva objava je bila objavljena 1. februarja in se imenuje "LCA2013 in prestrukturiranje varnega zagona"
Nekaj časa sem bil tiho, zato je čas, da objavim, kaj se dogaja s Secure Boot Loader Linux Foundation (še posebej, da je bil predstavljen na LCA2013). (Povezava do diapozitivov)
Bistvo problema je v tem, da je GregKH (razvijalec jedra Greg Kroah-Hartman) v začetku decembra odkril, da predlagani Pre-BootLoader z Gummibootom ne bo deloval v sedanji obliki. To je bilo nekoliko zastrašujoče, ker je pomenilo, da ne izpolnjuje poslanstva Linux Foundation, da aktivira vse zagonske nalagalnike. V raziskavi je bil razlog preprost: Gummiboot je bil ustvarjen, da dokaže, da lahko naredite majhen in preprost zagonski nalagalnik, ki bo izkoristil vse storitve, ki so na voljo na platformi UEFI, namesto da bi bil ogromen nakladalnik povezav, kot je GRUB. Na žalost to pomeni, da jedra zaženete s funkcijo BootServices-> LoadImage (), kar pomeni, da mora jedro, ki ga želite zagnati, opraviti preverjanje varnega zagona na platformi UEFI. Prvotno Pre-BootLoader, kot podloga, podložka, distančnik (Zagonski nalagalnik Mathewa Garretta), je bil napisan za nalaganje PE / Coff povezave za premagovanje varnih zagonskih pregledov. Na žalost to pomeni, da mora nekaj, kar zažene Pre-BootLoader, uporabiti tudi nalaganje povezav, da premaga varne zagonske preglede vsega, kar želi naložiti, zato Gummiboot, ki namerno ni nalagalnik povezav, po tej shemi ne bo deloval.
Zato sem moral prestrukturirati in prepisati: težava je zdaj prešla od "kako ustvariti nalagalnik povezav, ki ga je podpisal Microsoft in spoštuje njihove pravilnike", do "kako omogočiti vsem otrokom zagonskega nalagalnika uporabo funkcije BootServices-> LoadImage () način spoštovanja njihovih politik. Na srečo obstaja način, kako prestreči infrastrukturo za podpisovanje platforme UEFI z namestitvijo lastnega varnostnega protokola za arhitekturo. Na žalost specifikacija inicializacije platforme dejansko ni del specifikacije UEFI, vendar jo na srečo izvaja vsak sistem Windows 8, ki ga najdete. Nova arhitektura prestreže ta protokol in doda lastno varnostno preverjanje. Vendar pa obstaja druga težava: medtem ko smo v povratnem klicu varnostnega protokola za arhitekturo, nismo nujno lastnik zaslona sistema UEFI, zaradi česar je popolnoma nemogoče opraviti uporabniški test za odobritev izvajanja binarnega programa. Na srečo obstaja neinteraktiven način za to, to je mehanizem lastniškega ključa SUSE (MOK). Zato se je Linux Foundation Pre-BootLoader zdaj razvil tako, da uporablja standardne spremenljivke MOK za shranjevanje pooblaščenih binarnih zgoščenk.
Rezultat vsega tega je, da je Pre-BootLoader zdaj mogoče uporabljati z Gummiboot-om (tako kot je bilo to storjeno v predstavitvi na LCA2013). Za zagon morate dodati dve razpršitvi: eno za sam Gummiboot in drugo za jedro, ki ga želite zagnati, vendar je to dejansko dobro, saj imate zdaj eno samo varnostno politiko, ki nadzoruje celotno zagonsko zaporedje. Tudi sam Gummiboot je bil popravljen, da je zaradi varnega zagona prepoznal zrušitev in prikazal sporočilo, v katero kašo se morate vpisati.
V ločenem prispevku bom razložil, kako deluje nova arhitektura, vendar sem menil, da bi bilo bolje razložiti, kaj se je zgodilo prejšnji mesec.
In to drugo objavo, ki jo je objavil včeraj, se imenuje "Launched Linux Foundation Secure Boot System"
Kot je bilo obljubljeno, tukaj je Linux Foundation Secure Boot System. Microsoft nam ga je dejansko izdal 6. februarja, vendar s potovanji, konferencami in sestanki do danes nisem imel časa, da bi vse potrdil. Datoteke so:
PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Ustvarite tudi zagonsko sliko mini-USB; (Namestiti ga morate na USB s pomočjo dd; slika ima particije GPT, zato uporablja celoten disk). Ima lupino EFI, kjer mora biti jedro, in za nalaganje uporablja gummiboot. Najdete ga tukaj (md5sum 7971231d133e41dd667a184c255b599f).Če želite uporabiti sliko mini-USB, morate vnesti razpršilce za loader.efi (v mapo \ EFI \ BOOT) in shell.efi (v korensko mapo). Vključuje tudi kopijo KeyTool.efi, za zagon morate vnesti razpršitev.
Kaj se je zgodilo s KeyTool.efi? Prvotno je bil del našega podpisanega kompleta. Med testiranjem pa je Microsoft odkril, da bi ga zaradi napake na eni od platform UEFI lahko uporabili za programsko odstranitev ključa platforme, kar bi uničilo varnostni sistem UEFI. Dokler tega ne bomo uspeli rešiti (v zanki imamo zasebnega prodajalca), niso hoteli podpisati KeyTool.efi, čeprav ga lahko odobrite z dodajanjem spremenljivk MOK, če ga želite zagnati.
Sporočite mi, kako to poteka, ker me zanima zbiranje povratnih informacij o tem, kaj deluje in kaj ne. Zaskrbljen sem predvsem nad tem, da preglasitev varnostnega protokola morda ne bo delovala na nekaterih platformah, zato me še posebej zanima, če zanje ne deluje.
Fuentes:
http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/
http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/
Odločite se, ali je to dobra ali slaba novica.
No, dolgoročnega vpliva ne vidim, zame pa bo moj cilj pridobiti enega od teh http://blog.linuxmint.com/?p=2055
Mislim, da so zelo dragi.
Obstajajo podjetja, ki prodajajo računalnike brez vnaprej nameščenega operacijskega sistema. Drugi vam omogočajo, da izbirate med Ubuntujem ali drugimi in ga pošljete na dom pripravljenega. Deli lahko tudi kupite in sami sestavite ter vstavite želeni operacijski sistem.
V vašem mestu (GDL) obstaja veriga računalniških trgovin, ki prodajajo računalnike brez vnaprej nameščenega operacijskega sistema. Nanje lahko namestite Linux.
Vedno obstajajo možnosti. V tem primeru so oddaljeni in zelo "skriti" od običajnega uporabnika. Toda za tiste, ki si želimo Linux, obstaja, obstaja.
Za uporabnike v Latinski Ameriki ni toliko možnosti, saj ta "posebna" podjetja običajno ne dosežejo tukaj 🙁
awwnnn žalosten, žalosten…. da je prekleti UEFI resničen problem
Prijavi napako…. kaj se je zgodilo? Zakaj sem v svojih komentarjih dobil logotip jabolka? Uporabljam midori, vendar iz ubuntuja, ne iz maca: /
No, zelo preprosto, spremeniti morate uporabniškega agenta.
Ti vtičniki temeljijo na iskanju niza (besedilni niz). V tem primeru iščejo vaš sistem v uporabniškem agentu, uporabniški agent midori pa ima besedilni niz, ki ima tudi MacOS X, ne spomnim se, če Intel ali Mac OSX ali dva, vendar najprej poiščite ta niz in ga povežite, kot da bi bil Mac. Pred časom sem podoben skript programiral v php in drugem javascriptu in to je razrešeno iz skripta, saj po Mac OS X ne potrebuje ničesar in pošiljanje tega rezultata na spremenljivko midori, saj je edina stvar, ki razlikuje uporabniški agent, ki ga uporablja midori, od tistega, ki ga uporablja Mac, ali pa ga lahko tudi spremenimo.
Oglejte si to spletno stran z midori
http://whatsmyuseragent.com/
In uporabniški agent nima nič skupnega z Linuxom
pozdrav
«Carlos-Xfce
V vašem mestu (GDL) je veriga računalniških trgovin, ki prodajajo računalnike brez vnaprej nameščenega operacijskega sistema. Lahko jim namestite Linux. "
Takrat sem iskal in nisem našel le veletrgovca, ki mi je prodajal netbooke brez OS-a, ampak le to, brez osebnega ali prenosnega računalnika, samo netbook.
Bi lahko rekli ime verige?
Če bi objavo imena verige lahko napačno razlagali in se šteje za neželeno pošto, bi bilo dobro počakati, da skrbniki podajo svoje mnenje o njej.