Secure Boot

Обмен опытом по установке Линукс на разные аппаратные конфигурации

Модераторы: Olej, vikos

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Secure Boot

Непрочитанное сообщение Olej » 06 мар 2017, 11:30

Про такую гадость как Secure Boot писалось много, вот здесь в обсуждении UEFI попутно часто упоминалось: UEFI - проблемы и решения.

Но время идёт, UEFI + Secure Boot - всё чаще в новых моделях компьютеров, и пролемы Secure Boot вылазят при установке проприетарных драйверов (NVIDIA, RADEON и др.) при установке Linux. Вот здесь про это, и как бороться, подробнее: NVIDIA & обновления Fedora. Если на такое напороться, то симптоматика получается весьма загадочная, и поуродоваться придётся изрядно :cry: ...

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Secure Boot

Непрочитанное сообщение Olej » 06 мар 2017, 11:36

Olej писал(а):Если на такое напороться, то симптоматика получается весьма загадочная, и поуродоваться придётся изрядно :cry: ...
А открывается этот ларчик элементарно:

Код: Выделить всё

sudo apt-get install mokutil
sudo mokutil --disable-validation
перезагрузиться и проверить результат.

Еще можно попробовать отключить Secure Boot в настройках BIOS.
Здесь упоминается пакет (проект) mokutil - это что-то из новых:

Код: Выделить всё

[olej@dell ~]$ dnf info mokutil
Последняя проверка окончания срока действия метаданных: 0:00:14 назад, Mon Mar  6 10:13:50 2017.
Установленные пакеты
Имя         : mokutil
Архитектура : x86_64
Эпоха       : 1
Версия      : 0.2.0
Релиз       : 3.fc23
Размер      : 75 k
Репозиторий : @System
Краткое опи : Tool to manage UEFI Secure Boot MoK Keys
URL         : https://github.com/lcp/mokutil
Лицензия    : GPLv3+
Описание    : mokutil provides a tool to manage keys for Secure Boot through the MoK
            : ("Machine's Own Keys") mechanism.

С ним определённо стоит познакомиться подробнее!

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Secure Boot

Непрочитанное сообщение Olej » 06 мар 2017, 13:09

Olej писал(а):С ним определённо стоит познакомиться подробнее!
Используем Secure Boot в Linux на всю катушку
18 августа 2016 в 13:00
Изображение
Технология Secure Boot нацелена на предотвращение исполнения недоверенного кода при загрузке операционной системы, то есть защиту от буткитов и атак типа Evil Maid. Устройства с Secure Boot содержат в энергонезависимой памяти базу данных открытых ключей, которыми проверяются подписи загружаемых UEFI-приложений вроде загрузчиков ОС и драйверов. Приложения, подписанные доверенным ключом и с правильной контрольной суммой, допускаются к загрузке, остальные блокируются.
Укрощаем UEFI SecureBoot
19 декабря 2015 в 05:32
Изображение
... поэтому сегодня поговорим о том, как заставить UEFI SecureBoot работать не на благо Microsoft, как это чаще всего настроено по умолчанию, а на благо нас с вами.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Secure Boot

Непрочитанное сообщение Olej » 06 мар 2017, 13:26

Shim: ещё один универсальный предзагрузчик Secure Boot UEFI
Анатолий Ализар
06.12.2012
Бывший сотрудник компании Red Hat Мэтью Гарретт выпустил предзагрузчик Shim с сертификатом от Microsoft и опубликовал инструкцию, как использовать его для загрузки любого кода через Secure Boot. Нужно заметить, что за несколько часов до публикации универсального предзагрузчика Мэтью Гарретт уволился из компании Red Hat, так что это официально его личная разработка, а Red Hat формально не имеет к ней отношения.
...
Мэтью Гарретт элегантно решил эту проблему. Он получил ключ от Microsoft для программы MokManager, подписал им предзагрузчик Shim и удалил закрытый ключ. Он также сделал механизм генерации сертификата в системе пользователя на основе любого ключа — и передачу управления от Shim к подписанной программе. Таким образом, пользователь сам выбирает, каким ключом генерировать сертификат, сам генерирует сертификат для произвольного дистрибутива Linux/FreeBSD/проч. и ему не нужно иметь дела с Microsoft. Подобное ухищрение, однако, требует от пользователя совершить некую последовательность действий.
...
Применение Shim-загрузчика на системах с UEFI Secure Boot
Чтобы все это работало, создатели дистрибутивов должны присвоить бинарному файлу shim.efi новое имя bootx64.efi и поместить его на UEFI-разделе, в каталог efi/boot вместе со штатным загрузчиком. К примеру, при использовании GRUB2 скопировать загрузчик grubx64.efi. Скопированный загрузчик (grubx64.efi) подписать сгенерированным закрытым ключом, а публичный ключ указать на носителе установочных файлов. Так дистрибутив можно будет загружать на системах с UEFE Secure Boot. При загрузке образа Shim будет выведено соответствующее меню для выбора пути к ранее сохраненному публичному верификационному ключу. В случае удачной его проверки управление процессом загрузки перейдет к оригинальному загрузчику дистрибутива. Таким образом, Shim представляет собой нечто вроде промежуточного звена.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Secure Boot

Непрочитанное сообщение Olej » 06 мар 2017, 15:12

Есть такое впечатление, что на сегодня:
- решение с mokutil и (пред-)загрузчиком shim решают проблемы SecureBoot в а). Ubuntu 16.04, б). Fedora, в). SUSE ... возможно и некоторых других современных (последних) сборках дистрибутивов;
- но там где этого нет, в старых установочных ISO (предыдущие версии дистрибутивов) и в 1001 малых дистрибутивах-сообществах, проблема Secure Boot не решается...
- в некоторых моделях материнских плат и, особенно, ноутбуков встречаются модели, где невозможно отключить (в SETUP) UEFI и Secure Boot...
- и на таких моделях невозможно в принципе в таких малых дистрибутивах устанавливать проприетарные драйверы оборудования!

И единственное решение для таких моделей - сдать обратно в место приобретения :cry:

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Secure Boot

Непрочитанное сообщение Olej » 06 мар 2017, 17:41

Bumblebee в Fedora 25 устанавливаем nvidia с Secure Boot
04.12.2016 в 19:46
Secure boot
Зараза из зараз, в чем суть, почему многие просто отключают его?
Да просто все, это зараза не дает загружать неподписанные модули ядра.
Но статья не о том, а о том...
Поэтому нам надо сформировать собственный ключ, вписать его в MOK UEFI и подписывать ключами модули.
...
У нас есть ключи, надо добавить ключ в UEFI. Страшно, аж жуть.
На самом деле, это делается одной командой. Все уже придумано за нас (информация взята отсюда):

Код: Выделить всё

mokutil --import public_key.der
ВНИМАНИЕ!!! Команда дважды запросит пароль. Сильно над ним думать не стоит, но запомнить обязательно!
Смысл этой статьи:
суть инструкции в том, чтобы сделать это для систем с UEFI без выключения Secure Boot!
P.S. Вообще то, пробежавшись по разным публикациям нескольких последних лет, я прихожу к подозрению, что Secure Boot необходим (и борьба с ним):
- тем пользователям, многим, кто одновременно использует на одном компьютере (HDD) Linux и Windows ... никак не может решиться :lol:
- на тех, немногих (пока), моделях компьютеров, где Secure Boot не отключается в стартовых настройках (SETUP).

Ответить

Вернуться в «Железо для Linux»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей