பாதுகாப்பான துவக்கத்தை குறைந்த மட்டத்தில் கர்னல் கையாள வேண்டும் என்று நீங்கள் விரும்பும் கவலையின் ஒரு பகுதி என்னவென்றால், கணினியை ஹேக் செய்ய மைக்ரோசாப்ட் விசைகள் பயன்படுத்தப்படலாம், அது நடந்தால், மைக்ரோசாப்ட் விசையை முடக்கும், எனவே லினக்ஸ் பிசிக்கள் என்று அவர்கள் அஞ்சுகிறார்கள். அந்த விசையுடன் இயக்கவும் (யாரும் அதை விரும்பவில்லை).
மைக்ரோசாப்ட் கையொப்பமிட்ட பைனரி விசைகளை பாதுகாப்பான துவக்க பயன்முறையில் இயங்கும் கர்னலில் ஏற்றுவதற்கு அனுமதித்த டேவிட் ஹோவெல்ஸின் இழுப்பு கோரிக்கையுடன் இவை அனைத்தும் தொடங்கின. போர்வையுடன் இருப்பவர் இது புல்ஷிட் என்றும் X.509 பாகுபடுத்தியை மேம்படுத்துவது நல்லது என்றும் நினைத்தார். ஒரே ஒரு கையொப்பமிடும் அதிகாரம் உள்ளது என்றும் அவர்கள் PE பைனரிகளில் (கையடக்க இயங்கக்கூடியவை) மட்டுமே கையெழுத்திடுகிறார்கள் என்றும் மத்தேயு காரெட் பதிலளித்தார். இங்கே லினஸ் தனது கூர்மையான நாக்கை விட்டுவிட்டு இவ்வாறு கூறுகிறார்:
நண்பர்களே, இது ஒரு சேவல் உறிஞ்சும் போட்டி அல்ல. நீங்கள் PE பைனரிகளை அலச விரும்பினால், மேலே செல்லுங்கள். Red Hat உங்களிடம் கேட்க விரும்பினால் ஆழமான தொண்டை மைக்ரோசாஃப்ட் நிறுவனத்திற்கு, இது * உங்கள் * பிரச்சினை. நான் பராமரிக்கும் கர்னலுக்கும் இதற்கும் எந்த சம்பந்தமும் இல்லை. PE பைனரியை பாகுபடுத்தி, கையொப்பங்களை சரிபார்க்கும் மற்றும் அதன் விளைவாக வரும் விசைகளை அதன் சொந்த விசையுடன் கையொப்பமிடும் கையொப்பமிடும் இயந்திரம் உங்களிடம் இருப்பது அற்பமானது. அவர்கள் ஏற்கனவே குறியீட்டை எழுதினர், கடவுளால், அது அந்த மோசமான வரிசையில் உள்ளது. நான் எதற்கு கவலை படவேண்டும்? "நாங்கள் PE பைனரிகளில் மட்டுமே கையெழுத்திடுகிறோம்" போன்ற கர்னல் ஏன் கொடுக்க வேண்டும்? நாங்கள் X.509 ஐ ஆதரிக்கிறோம், இது கையொப்பமிடுவதற்கான தரமாகும். நம்பகமான கணினியில் பயனரின் பக்கத்தில் இதைச் செய்யுங்கள். அதை கர்னலில் செய்ய எந்த காரணமும் இல்லை.
மத்தேயு பதிலளித்தார்:
விற்பனையாளர்கள் நம்பகமான மூன்றாம் தரப்பினரால் கையொப்பமிடப்பட்ட விசைகளை கொண்டு வர விரும்புகிறார்கள். இப்போது மைக்ரோசாப்ட் மட்டுமே அளவிடப்படுகிறது, ஏனென்றால் விற்பனையாளர்கள் தந்திரமான ஃபார்ம்வேரை விட அதிகமாக விரும்புவது மைக்ரோசாப்டின் விவரக்குறிப்புகளைப் பின்பற்றுகிறது. அதற்கு சமமானது Red Hat (அல்லது எதுவாக இருந்தாலும்) அந்த விசைகளை நிரல் ரீதியாக மீண்டும் கையொப்பமிடுவது மட்டுமல்ல, அது அப்ஸ்ட்ரீம் கர்னலால் நம்பகமான விசையுடன் அந்த விசைகளை மீண்டும் கையொப்பமிடுகிறது. நம்பகமான சமூகத்தின் உறுப்பினர் மீண்டும் கையொப்பமிடும் சேவையை வழங்கினால், இயல்புநிலையாக நம்பகமான விசையை எடுத்துச் செல்ல நீங்கள் தயாரா? அல்லது வெளிப்புற தொகுதிகளை வெளியிட விரும்பும் எவரும் ஒரு முட்டாள், ஒரு பரிதாபகரமானவராக இருக்க தகுதியானவர் என்று நாம் கருதுகிறோமா?
யாரையும் கவனிப்பதாக அவர் சந்தேகிக்கிறார் என்று லினஸ் பதிலளித்தார். மைக்ரோசாஃப்ட் விசையுடன் கர்னல் தொகுதிகளில் கையொப்பமிடுவது ஏற்கனவே முட்டாள்தனம். மேலும், என்விடியா மற்றும் ஏஎம்டி பைனரி தொகுதிகளில் Red Hat கையெழுத்திடும். பீட்டர் ஜோன்ஸ் இல்லை என்று கூறுகிறார், மற்றொருவரால் கட்டப்பட்ட எந்த தொகுதியிலும் Red Hat கையெழுத்திடாது. என்ஹிடியா மற்றும் ஏஎம்டியின் விசைகளை நம்பியிருப்பதற்கு ஆர்ஹெச்எல் முடிவடையும் என்றும் அவை மைக்ரோசாப்டின் கையொப்பமிடும் சேவையை அடிப்படையாகக் கொண்டதாக இருக்கும் என்றும் காரெட் கூறுகிறார்.
தொழில்நுட்ப விவரங்களுக்கு செல்ல விரும்பாதவர்களுக்கு பகுதி மற்றும் மிருகத்தனத்தை நான் இடைநிறுத்தி சுருக்கமாகக் கூறுகிறேன்:
பாதுகாப்பான துவக்கத்தைச் சுற்றியுள்ள அனைத்து வளர்ச்சியும் வெறித்தனமாகிவிட்டன, ஆனால் வன்பொருள் விற்பனையாளர்கள் (குறைந்தபட்சம் மிகப் பெரியவர்கள்) இன்னும் மைக்ரோசாப்டை ஆழமாக்க விரும்புகிறார்கள்.
எனவே லினஸ் பின்வரும் பரிந்துரைகளை வழங்க முடிவு செய்தார், எனவே அவர்கள் செக்ஸ் செய்வதை நிறுத்துகிறார்கள் ……:
பயமுறுத்துவதன் மூலம் அதை துண்டிக்கவும்.
இதைத்தான் நான் பரிந்துரைக்கிறேன், அது அடிப்படையாகக் கொண்டது உண்மையான பாதுகாப்பு மற்றும் உள்ளே பயனரை முதலில் வைக்கவும் அவரது "மைக்ரோசாப்ட் தந்திரமாக செய்வதன் மூலம்" அணுகுமுறைக்கு பதிலாக.
எனவே மைக்ரோசாஃப்ட் நிறுவனத்தை மகிழ்விப்பதற்கு பதிலாக, நாங்கள் எவ்வாறு பாதுகாப்பை சேர்க்க முடியும் என்பதைப் பார்ப்போம்:
- ஒரு டிஸ்ட்ரோ அதன் சொந்த தொகுதிகளில் கையொப்பமிட வேண்டும் மேலும் எதுவும் இல்லை இயல்புநிலை. இது வேறு எந்த தொகுதியையும் இயல்பாகவே ஏற்ற அனுமதிக்கக் கூடாது, ஏனென்றால் ஃபக் ஏன் அதை செய்ய வேண்டும்? மைக்ரோசாப்ட் நிறுவனம் வேறு எதற்கும் என்ன செய்ய வேண்டும்?
- வேறு எந்த மூன்றாம் தரப்பு தொகுதிகளையும் ஏற்றுவதற்கு முன், உறுதிப்படுத்தவும் பயனரிடம் அனுமதி கேளுங்கள். கன்சோலில். விசைகளைப் பயன்படுத்தாமல். அது ஒன்றும் இல்லை. விசைகள் சமரசம் செய்யப்படும். சேதத்தை குறைக்க முயற்சி செய்யுங்கள், ஆனால் மிக முக்கியமாக, பயனருக்கு கட்டுப்பாடு இருக்கட்டும்.
- ஒரு ஹோஸ்டுக்கு சீரற்ற விசைகள் போன்றவற்றை உயிரூட்டுங்கள் - தேவைப்பட்டால் முட்டாள் UEFI காசோலைகள் முடக்கப்பட்டுள்ளன. கிரெடிட் கார்டு வைத்திருக்கும் எவரையும் நம்பும் அதிகாரிகளிடம் கையெழுத்திடுவதன் மூலம், ஒரு பெரிய நிறுவனத்தை அடிப்படையாகக் கொண்ட நம்பிக்கையின் சில பைத்தியம் வேர்களைப் பொறுத்து அவை நிச்சயமாக மிகவும் பாதுகாப்பாக இருக்கும். அந்த விஷயங்களை மக்களுக்கு கற்பிக்க முயற்சி செய்யுங்கள். சொந்தமாக (சீரற்ற) விசைகளை உருவாக்க மக்களை ஊக்குவிக்கவும், அவற்றை அவர்களின் UEFI அமைப்புகளில் சேர்க்கவும் (அல்லது இல்லை: UEFI ஐப் பற்றி எல்லாம் பாதுகாப்பை விட கட்டுப்பாட்டைப் பற்றியது), மேலும் தனிப்பட்ட முறையில் நிராகரிக்கப்பட்ட முக்கியத்துடன் ஒரு முறை கையொப்பமிடுவது போன்ற செயல்களைச் செய்ய முயற்சிக்கவும். வேறு வார்த்தைகளில் கூறுவதானால், "பெரிய எச்சரிக்கைகளுடன் பயனரை வெளிப்படையாகக் கேட்பதை உறுதிசெய்து, அந்த குறிப்பிட்ட தொகுதிக்கு அவற்றின் சொந்த விசையை உருவாக்குவதை உறுதிசெய்கிறோம்" போன்ற பாதுகாப்பை உயிரூட்ட முயற்சிக்கவும். உண்மையான பாதுகாப்பு, பாதுகாப்பு அல்ல "நாங்கள் பயனரைக் கட்டுப்படுத்துகிறோம்."
நிச்சயமாக, பயனர்கள் அதைத் திருகப் போகிறார்கள். அவர்கள் என்விடியா பைனரி தொகுதிகள் மற்றும் எல்லாவற்றையும் தந்திரமாக ஏற்ற விரும்புவார்கள். ஆனால் அது இருக்கட்டும் SU முடிவு, மற்றும் கீழ் SU மைக்ரோசாப்ட் இதை எவ்வாறு ஆசீர்வதிக்க வேண்டும் என்பதை உலகுக்குச் சொல்வதற்கு பதிலாக கட்டுப்பாடு.
ஏனெனில் இது எம்.எஸ் ஆசீர்வாதங்களைப் பற்றி அல்ல, மாறாக பயனர் கர்னல் தொகுதிகளை ஆசீர்வதிப்பார்.
நேர்மையாக, பைத்தியம் எதிர்ப்பு முக்கிய மக்கள் அஞ்சுவது நீங்கள் தான். நீங்கள் "கட்டுப்பாடு, பாதுகாப்பு அல்ல" ஷிட்வேரை விற்கிறீர்கள். கடவுச்சொற்களைப் பயன்படுத்துவதற்கான தவறான வழி "எம்எஸ் உங்கள் கணினிக்கு சொந்தமானது".
அப்போதிருந்து நூல் அமைதியடைந்தது ... அதைப் பின்பற்றுவது மதிப்பு இல்லை.
நண்பர்கள் DesdeLinux. Hoy cumplo mi primer aniversario como redactor en un blog de linux, a pesar de no haber debutado como tal aquí sino en el blog de frannoe que por entonces se llamaba Ubuntu Cosillas y que hoy es LMDE Cosillas. Y fue allí un 2 de marzo cuando escribí el primer capítulo de esta saga del firmware que luego continué aquí. Quisiera agradecer a todos los que me leen y me leyeron, sobretodo a Frannoe y todo el staff de Desdelinux por hacerme un lugar. Si no fuese por haber hecho aquel curso de Programación Funcional Avanzada, y un compañero que me sugirió usar un linux para trabajar con ghc, seguro que me seguiría importando 3 pepinos todo lo de linux.
இந்த வாக்கியத்துடன் நான் முடிக்கப் போகிறேன்: "நீங்கள் உங்கள் அறியாமையைக் கத்தவில்லை என்றால், உங்களைத் திருத்த யாரும் வெளியே வரமாட்டார்கள், எனவே நீங்கள் தவறாக இருப்பது சரியாக இருக்கும்"
கர்னல் அஞ்சல் பட்டியலிலிருந்து தொடர்புடைய பதிவுகள்:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
விஷயம் என்னவென்றால், நோட்புக்குகளின் உற்பத்தியாளர்கள் மற்றும் பிறர் நிச்சயமாக விண்டலின் யுஇஎஃப்ஐக்கு பின்னால் இருந்தால் (யுஇஎஃப்ஐ இன்டெல்லின் யோசனை என்பதை நாம் மறந்துவிடக் கூடாது), மற்றும் மோசமான நிலையில், அவர்கள் அனைவரும் அதை செயலிழக்கச் செய்வதற்கான விருப்பத்தை சேர்க்க வேண்டாம் என்று முடிவு செய்தால், லினக்ஸ் டிஸ்ட்ரோக்கள் அவர்களிடம் கையொப்பம் இல்லையென்றால் கருப்பு நிறமாக இருக்கும், அது ரெட்ஹாட்டில் உள்ளவர்கள் கவனித்த ஒன்று என்று நான் நினைக்கிறேன். கையொப்பம் இல்லாததால் எந்தவொரு புதிய கணினியிலும் லினக்ஸை நிறுவ முடியாத நிலையில், ஓரிரு ஆண்டுகளில் அவர்கள் என்ன செய்யப் போகிறார்கள் என்பதை நான் காண விரும்புகிறேன்.
மிக மோசமான சூழ்நிலையில், விநியோகங்கள் மைக்ரோசாப்ட் கையொப்பமிட்ட விசைகளுடன் கர்னலில் கையொப்பமிடும். உண்மையில், பலர் ஏற்கனவே செய்து வருகிறார்கள்.
டொர்வால்ட்ஸ் சொல்வது என்னவென்றால், இது ஒவ்வொரு டிஸ்ட்ரோவிலும் தீர்க்கப்பட வேண்டும், ஏனென்றால் கர்னல் அதை செய்யப்போவதில்லை. இது மிகவும் விவேகமான விஷயம், அதற்கு எந்த வருமானமும் இல்லை.
லினஸ் எனக்கு மிகவும் பிடித்த உண்மையான உலக ஆளுமை. அவர் ஒரு குவென்டின் டரான்டினோ திரைப்படத்திலிருந்து வெளியேற்றப்பட்டு ஒரு சமூகத்தின் பொறுப்பில் வைக்கப்பட்டிருப்பது போன்றது. நீங்கள் சொல்வதில் நீங்கள் சொல்வது சரிதான்.
லினக்ஸ்மின்ட் இயந்திரங்கள் UEFI / Secure boot உடன் வருகிறதா? எனக்கு ஒன்று தேவைப்படும்போது, அவற்றில் ஒன்றை வாங்குவேன் என்று நான் வலியுறுத்துகிறேன்.
எனது மடியில் ஒரு வருடம் பழமையானது, எனக்கு இன்னொன்று தேவைப்படும் நேரத்தில், யுஇஎஃப்ஐ / பாதுகாப்பான துவக்க விஷயம் ஏற்கனவே நன்கு தீர்க்கப்படும், அல்லது சரியாக செயல்படுத்தப்படும், அல்லது முறையாக அகற்றப்படும், எக்டர்.
நான் உண்மையிலேயே சந்தேகிக்கிறேன், ஏனெனில் அது சாத்தியமற்றது, ஏனென்றால் புதினா பெட்டி லினக்ஸ்மிண்ட், ஃபெடோரா, உபுண்டு மற்றும் டெபியன் ஆகியவற்றுடன் பயன்படுத்த வடிவமைக்கப்பட்டுள்ளது, ஏனெனில் அதன் விவரக்குறிப்புகளில் அது கூறுகிறது, எனவே நிச்சயமாக டூயல் பூட் இருக்கும் ஏதாவது ஒன்றில் பாதுகாப்பான துவக்கத்தை வைப்பது வேடிக்கையானது, அல்லது இது உபுண்டு எக்ஸ்டி விஷயத்தில் இலவச அல்லது மிதமான இலவச மென்பொருளுக்காக வடிவமைக்கப்பட்டுள்ளது.
சரி, இது வெளிவந்ததிலிருந்து எப்போதும் சர்ச்சையை உருவாக்கிய ஒரு பிரச்சினை. அவர் எவ்வாறு முன்னேறுகிறார் என்பதைப் பார்ப்பது சுவாரஸ்யமானது, ஆல்ஃப் என்ற முறையில், நடுத்தர கால விஷயங்கள் மேம்படும் என்று நான் நினைக்கிறேன். பாதுகாப்பான துவக்கத்தை முடக்க எப்போதும் அனுமதிக்கும் உற்பத்தியாளர்கள் உள்ளனர், ஏற்கனவே லினக்ஸ் முன்பே நிறுவப்பட்ட திங்க்பெங்குயின் அல்லது சிஸ்டம் 76 போன்றவற்றை நிறுவியுள்ளனர், காலப்போக்கில் ஒரு தேர்வு இருப்பதைப் போல மேலும் மேலும் பிறக்கும் என்று நம்புகிறேன் ... நான் எப்போதும் விரும்புகிறேன் லினக்ஸுடன் 100% இணக்கமான ஒன்றை வாங்க, அவற்றை வேறு எந்த இயந்திரத்துடனும் இயக்க உத்தரவாதம் அளிக்கப்படுகிறது.
இந்த யுஇஎஃப்ஐ மற்றும் பிறவற்றை நான் இன்னும் நன்றாக புரிந்து கொள்ளவில்லை .. ஷிட் .. மூலம் டயஸெபன்: வாழ்த்துக்கள்! நீங்கள் இங்கே இருப்பது எங்களுக்கு மகிழ்ச்சி.
முடிவில், தூய சேவையக உபகரணங்களை வாங்குவதை முடிப்போம், அதாவது அவர்கள் இந்த மலத்தை அங்கே கொண்டு செல்லவில்லை என்றால்.
பெரிய மற்றும் முக்கியமான சேவையகங்களில் பெரும்பாலானவை லினக்ஸுடன் வேலை செய்கின்றன, அவற்றில் பல (அவற்றின் கையாளுதலைப் பொறுத்தது) மிகவும் பாதுகாப்பானவை என்பது ஒரு பெரிய நபராக இருக்க வேண்டும், இந்த பாதுகாப்பு இழுவை அந்த தீங்கிழைக்கும் மென்பொருளைக் கொல்லும் என்று கருதுவது போல.
எப்போதும்போல, லினஸ் முன்வைப்பதை நான் மிகவும் ஏற்றுக்கொள்கிறேன், அவர் சொல்வது போல், இந்த யுஇஎஃப்ஐ தலைப்பு "பாதுகாப்பு" என்பதை விட "கட்டுப்பாடு" பற்றியது. எனது பங்கிற்கு, இந்த பாதுகாப்பு பொறிமுறையில் நான் சிறிதும் நம்பவில்லை, யுஇஎஃப்ஐ கொண்ட ஒரு கணினி என் கைகளில் விழுந்தால், நான் முதலில் செய்வேன் அதை செயலிழக்கச் செய்து முந்தையதைப் போலவே தொடரவும். மறுபுறம், உபகரணங்கள் உற்பத்தியாளர்கள் யுஇஎஃப்ஐ செயலிழக்கப்படுவதைத் தடுக்கும் என்று நான் நம்பவில்லை, ஏனெனில் அவர்கள் சந்தைப் பங்கை இழக்க நேரிடும்; அபாயங்களை எடுக்கும் அல்லது குறைந்தபட்சம் சில குறிப்பிட்ட மாடல்களில் அதைச் செய்யும் ஒருவர் இருப்பார், நான் அதை சந்தேகிக்கவில்லை, ஆனால் எப்போதும் தீர்வுகள் இருக்கும் என்று நான் நினைக்கிறேன், இது ஸ்டெராய்டுகள் பற்றிய பயாஸ் மற்றும் மேம்படுத்தும் சாத்தியத்தைத் தவிர வேறொன்றுமில்லை என்பதை நினைவில் கொள்க. இது "திறந்த" பதிப்புகளுடன் எப்போதும் மறைந்திருக்கும்.
எனக்குத் தெரிந்தவரை, யூஃபி வின் 8 க்கு மட்டுமே இயங்குகிறது, நீங்கள் இரட்டை துவக்க அமைப்பை விரும்பினால், அதை பயாஸுடன் செயலிழக்கச் செய்யலாம், எனவே நீங்கள் லினக்ஸ் மட்டுமே வைத்திருந்தால் பரவாயில்லை, மேலும் பயோஸிலிருந்து அந்த விருப்பத்தை செயலிழக்கச் செய்ய வேண்டிய அவசியமில்லை பிரச்சினையைப் பற்றி மிகவும் வம்பு செய்யுங்கள்.
இந்த தலைப்பு எனக்கு சற்று பெரியது, ஆனால் தனிப்பட்ட விலக்கு மூலம் நான் பார்ப்பது என்னவென்றால், மைக்ரோசாப்ட் பொம்மலாட்டங்கள் லினக்ஸ் எவ்வளவு முதிர்ச்சியடைந்தவை என்பதைக் கண்டதும் கருப்பு நிறத்தைக் காணத் தொடங்கின…. காலத்தின் தொடக்கத்திலிருந்தே அவர்கள் பெரிய உற்பத்தியாளர்களை எவ்வாறு ஏகபோகமாக்குகிறார்கள், அந்த மோசமான பாதுகாப்பான துவக்கத்தில் ஏன் இவ்வளவு சிக்கல் உள்ளது என்பது எனக்குத் தெளிவாகத் தெரிகிறது ...... சில பெரிய அல்லது நடுத்தர அளவிலான நிறுவனம்கூட நான் வேறு வழிகளை இல்லாமல் எடுத்துக்கொள்வேன் என்று நினைக்கிறேன் எனது அடுத்த இயந்திரத்தை வாங்குவேன் ... அது நிச்சயம்