முன் துவக்க ஏற்றி தொடர்பான இரண்டு செய்திகள்

ஜேம்ஸ் பாட்டம்லி தனது வலைப்பதிவில் எடுத்த இரண்டு இடுகைகளின் மொழிபெயர்ப்புகள் அவை. முதல் இடுகை பிப்ரவரி 1 ஆம் தேதி செய்யப்பட்டது, இது "LCA2013 மற்றும் பாதுகாப்பான துவக்கத்தை மறுசீரமைத்தல்" என்று அழைக்கப்படுகிறது

நான் சிறிது நேரம் அமைதியாக இருந்தேன், எனவே லினக்ஸ் அறக்கட்டளையின் பாதுகாப்பான துவக்க ஏற்றி (குறிப்பாக இது LCA2013 இல் இடம்பெற்றது) உடன் என்ன நடக்கிறது என்பது குறித்த புதுப்பிப்பைக் கொடுக்க வேண்டிய நேரம் இது. (ஸ்லைடுகளுக்கான இணைப்பு)

சிக்கலின் சாராம்சம் என்னவென்றால், கிரெக் கே.எச் (கர்னல் டெவலப்பர் கிரெக் க்ரோவா-ஹார்ட்மேன்) டிசம்பர் தொடக்கத்தில் கண்டுபிடித்தார், முன்மொழியப்பட்ட பூட்லோடர் அதன் தற்போதைய வடிவத்தில் கும்மிபூட்டுடன் இயங்காது. இது ஓரளவு அச்சுறுத்தலாக இருந்தது, ஏனெனில் இது அனைத்து துவக்க ஏற்றிகளையும் செயல்படுத்தும் லினக்ஸ் அறக்கட்டளையின் பணியை நிறைவேற்றவில்லை என்று பொருள். ஆராய்ச்சியில், காரணம் எளிதானது: GRUB போன்ற மிகப்பெரிய இணைப்பு ஏற்றி இருப்பதற்குப் பதிலாக UEFI இயங்குதளத்தில் கிடைக்கும் அனைத்து சேவைகளையும் பயன்படுத்தி கொள்ளக்கூடிய ஒரு சிறிய, எளிய துவக்க ஏற்றி ஒன்றை நீங்கள் உருவாக்க முடியும் என்பதை நிரூபிக்க கம்மிபூட் உருவாக்கப்பட்டது. துரதிர்ஷ்டவசமாக நீங்கள் BootServices-> LoadImage () செயல்பாட்டைப் பயன்படுத்தி கர்னல்களைத் துவக்குகிறீர்கள், அதாவது துவக்கப்பட வேண்டிய கர்னல் UEFI இயங்குதளத்தில் பாதுகாப்பான துவக்க சோதனைகள் வழியாக செல்ல வேண்டும். முதலில் முன்-பூட்லோடர் போன்றது ஷிம் (மேத்யூ காரெட்டின் துவக்க ஏற்றி), பாதுகாப்பான துவக்க காசோலைகளை தோற்கடிக்க PE / Coff இணைப்பு ஏற்றுதல் பயன்படுத்த எழுதப்பட்டது. துரதிர்ஷ்டவசமாக, ப்ரீ-பூட்லோடரால் இயக்கப்படும் ஏதேனும் ஒன்று ஏற்ற ஏற்றதைப் பாதுகாக்க பாதுகாப்பான துவக்க காசோலைகளை வெல்ல இணைப்பு ஏற்றுதலையும் பயன்படுத்த வேண்டும், எனவே வேண்டுமென்றே இணைப்பு ஏற்றி இல்லாத கம்மிபூட் இதன் கீழ் இயங்காது திட்டம்.

எனவே நான் மறுசீரமைத்து மீண்டும் எழுத வேண்டியிருந்தது: சிக்கல் இப்போது "மைக்ரோசாப்ட் கையொப்பமிட்ட இணைப்பு ஏற்றியை எவ்வாறு உருவாக்குவது என்பது அவர்களின் கொள்கைகளுக்குக் கீழ்ப்படிகிறது" என்பதிலிருந்து "துவக்க ஏற்றியின் அனைத்து குழந்தைகளையும் எவ்வாறு பூட் சர்வீசஸ்-> லோட்இமேஜ் () செயல்பாட்டைப் பயன்படுத்துவது? அவர்களின் கொள்கைகளுக்குக் கீழ்ப்படிய வழி. அதிர்ஷ்டவசமாக, உங்கள் சொந்த கட்டமைப்பு பாதுகாப்பு நெறிமுறையை நிறுவுவதன் மூலம் UEFI இயங்குதளத்தில் கையொப்பமிடும் உள்கட்டமைப்பை இடைமறிக்க ஒரு வழி உள்ளது. துரதிர்ஷ்டவசமாக, இயங்குதள துவக்க விவரக்குறிப்பு உண்மையில் UEFI விவரக்குறிப்பின் ஒரு பகுதியாக இல்லை, ஆனால் அதிர்ஷ்டவசமாக இது நீங்கள் காணக்கூடிய ஒவ்வொரு விண்டோஸ் 8 அமைப்பினாலும் செயல்படுத்தப்படுகிறது. புதிய கட்டமைப்பு அந்த நெறிமுறையை இடைமறித்து அதன் சொந்த பாதுகாப்பு சோதனை சேர்க்கிறது. இருப்பினும், இரண்டாவது சிக்கல் உள்ளது: நாங்கள் கட்டிடக்கலை பாதுகாப்பு நெறிமுறை திரும்பப்பெறலில் இருக்கும்போது, ​​UEFI கணினித் திரையை நாங்கள் சொந்தமாக வைத்திருக்க வேண்டிய அவசியமில்லை, பைனரி செயல்படுத்துவதற்கு அங்கீகாரம் அளிக்க பயனர் சோதனை செய்வது முற்றிலும் சாத்தியமற்றது. அதிர்ஷ்டவசமாக, இதைச் செய்ய ஒரு ஊடாடாத வழி உள்ளது, அதுவே SUSE இயந்திர உரிமையாளர் விசை (MOK) பொறிமுறையாகும். எனவே, லினக்ஸ் அறக்கட்டளை முன்-பூட்லோடர் இப்போது அங்கீகரிக்கப்பட்ட பைனரி ஹாஷ்களை சேமிக்க நிலையான MOK மாறிகள் பயன்படுத்த பரிணாமம் அடைந்தது.

இவற்றின் விளைவு என்னவென்றால், நீங்கள் இப்போது கம்மிபூட்டுடன் முன்-பூட்லோடரைப் பயன்படுத்தலாம் (இது LCA2013 இல் டெமோவில் செய்யப்பட்டதைப் போலவே). துவக்க, நீங்கள் 2 ஹாஷ்களைச் சேர்க்க வேண்டும்: ஒன்று கம்மிபூட்டிற்கும் மற்றொன்று நீங்கள் துவக்க விரும்பும் கர்னலுக்கும், ஆனால் இது உண்மையில் ஒரு நல்ல விஷயம், ஏனென்றால் இப்போது முழு துவக்க வரிசையையும் கட்டுப்படுத்தும் ஒற்றை பாதுகாப்புக் கொள்கை உங்களிடம் உள்ளது. பாதுகாப்பான துவக்கத்தின் காரணமாக விபத்தை அடையாளம் காண கும்மிபூட் இணைக்கப்பட்டிருந்தது, மேலும் எந்த ஹாஷ் பதிவு செய்ய வேண்டும் என்று ஒரு செய்தியைக் காட்டுகிறது.

புதிய கட்டிடக்கலை எவ்வாறு செயல்படுகிறது என்பதை விளக்கும் ஒரு தனி இடுகையை நான் செய்வேன், ஆனால் கடந்த மாதம் என்ன நடந்தது என்பதை விளக்குவது நல்லது என்று நினைத்தேன்.

இந்த இரண்டாவது இடுகை அவர் நேற்று செய்தார் மற்றும் "லினக்ஸ் அறக்கட்டளை பாதுகாப்பான துவக்க முறையைத் தொடங்கினார்"

வாக்குறுதியளித்தபடி, இங்கே லினக்ஸ் அறக்கட்டளை பாதுகாப்பான துவக்க அமைப்பு உள்ளது. இது உண்மையில் பிப்ரவரி 6 அன்று மைக்ரோசாப்ட் எங்களுக்கு வெளியிட்டது, ஆனால் பயணங்கள், மாநாடுகள் மற்றும் கூட்டங்களுடன் இன்று வரை எல்லாவற்றையும் சரிபார்க்க எனக்கு நேரம் இல்லை. கோப்புகள்:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
துவக்கக்கூடிய மினி-யூ.எஸ்.பி படத்தையும் உருவாக்கவும்; (நீங்கள் அதை dd ஐப் பயன்படுத்தி யூ.எஸ்.பி-யில் நிறுவ வேண்டும்; படத்தில் ஜி.பி.டி பகிர்வுகள் உள்ளன, எனவே இது முழு வட்டையும் பயன்படுத்துகிறது). இது கர்னல் இருக்க வேண்டிய EFI ஷெல் உள்ளது மற்றும் அதை ஏற்ற கம்மிபூட்டைப் பயன்படுத்துகிறது. நீங்கள் அதை இங்கே காணலாம் (md5sum 7971231d133e41dd667a184c255b599f).

மினி-யூ.எஸ்.பி படத்தைப் பயன்படுத்த, நீங்கள் லோடர்.இஃபி (\ EFI \ BOOT கோப்புறையில்) மற்றும் ஷெல்.இஃபி (ரூட் கோப்புறையில்) ஆகியவற்றிற்கான ஹாஷ்களை உள்ளிட வேண்டும். KeyTool.efi இன் நகலும் இதில் அடங்கும், நீங்கள் இயக்க ஹாஷை உள்ளிட வேண்டும்.

KeyTool.efi க்கு என்ன நடந்தது? இது முதலில் எங்கள் கையொப்பமிடப்பட்ட கிட்டின் ஒரு பகுதியாக இருக்கப்போகிறது. இருப்பினும், சோதனையின் போது மைக்ரோசாப்ட் UEFI இயங்குதளங்களில் ஒன்றின் பிழை காரணமாக, இயங்குதளத்திலிருந்து விசையை நிரல் முறையில் அகற்ற பயன்படுகிறது, இது UEFI பாதுகாப்பு அமைப்பை அழித்துவிடும். இதை நாங்கள் தீர்க்கும் வரை (எங்களிடம் தனியார் விற்பனையாளர் வளையத்தில் இருக்கிறார்), அவர்கள் KeyTool.efi இல் கையெழுத்திட மறுத்துவிட்டனர், இருப்பினும் அவர்கள் அதை இயக்க விரும்பினால் MOK மாறிகள் சேர்ப்பதன் மூலம் அதை அங்கீகரிக்க முடியும்.

இது எவ்வாறு நடக்கிறது என்பதை எனக்குத் தெரியப்படுத்துங்கள், ஏனென்றால் என்ன வேலை செய்கிறது மற்றும் எது செய்யாது என்பது குறித்த கருத்துக்களை சேகரிப்பதில் நான் ஆர்வமாக உள்ளேன். குறிப்பாக, பாதுகாப்பு நெறிமுறை மீறல் சில தளங்களில் இயங்காது என்று நான் கவலைப்படுகிறேன், எனவே இது அவர்களுக்கு வேலை செய்யவில்லையா என்பதை நான் குறிப்பாக அறிய விரும்புகிறேன்.

ஆதாரங்கள்:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

இது நல்லதா அல்லது கெட்ட செய்தியா என்று முடிவு செய்யுங்கள்.