Questions tagged «secure-boot»

2
UEFI和SecureBoot的影响有多严重?
我计划在未来几天购买一台新笔记本电脑,而新的,超酷的超极本给我留下了深刻的印象。作为GNU / Linux的长期用户,我当然会在上面安装自己选择的发行版。 我可能必须购买一台预装Windows 8的计算机。很有可能它将运行UEFI并具有“安全启动”,非签名内核将无法启动。 UEFI可能不错,BIOS可能需要退出。我想毛茸茸的是安全启动。 据我了解,一些受信任的证书将嵌入到固件中,然后嵌入到内核等中。如果可以将内核的证书追溯到任一固件的证书,则内核将启动,否则UEFI会告诉我并拒绝启动。此过程将防止启动未经认证的软件。尽管我看不到它们,但这可能会有好处。 我不知道开源内核如何获得这些密钥之一并且仍然免费。我已经阅读了Linux邮件列表上的一个线程,其中Red Hat员工要求Linus Torvalds提取一个变更集,该变更集实现了对PE二进制文件进行解析的功能,并采取了一系列复杂的操作以使内核以安全启动模式启动(据我所知) )。他们想要这样做是因为Microsoft仅签署PE二进制文件。Torvalds先生亲切地拒绝了这个变更集,他说内核已经实现了不是PE的标准。RedHat正在尝试将此代码推送到内核,这样他们就不必在一天之内分叉它。 瞧,这是一件复杂的事情。让我问我的问题: 作为家庭用户,使用UEFI和安全启动可以获得什么好处? 如何签署? 谁可以获得签名/证书?它付钱了吗?可以公开吗?(它应该在Linux的源代码中可用,不是吗?) Microsoft是提供签名的唯一授权吗?不应该有一个独立的基金会来提供这些服务吗? 这将如何影响开源和免费内核,爱好者/学术内核开发人员等。例如,该引导(一个非常基本的引导扇区代码): hang: jmp hang times 510-($-$$) db 0 db 0x55 db 0xAA 新闻项目在这个网站是这个问题的inspration。西班牙的一个名为Hispalinux的 Linux用户组已就此问题向Europan Comission提出了针对Microsoft的投诉。 我应该担心吗?我拒绝使用专有软件或受信任公司签名的软件。到目前为止,我已经这样做了,我想继续这样做。提前致谢。

3
有没有办法在Linux中启用安全启动?
就像Windows具有安全启动功能,可以阻止任何外部OS Loader代码在启动时运行一样,Linux本身是否具有类似的选择?我环顾四周,但是当我搜索时,唯一得到的结果就是如何在启用UEFI的Windows计算机上安装Linux。我找不到如何将此选项带到我的Linux机器上。

2
如何使用安全启动保护initrd和grub.cfg?
我将默认的ubuntu方法与shim和grub2结合使用,并结合了自己的平台密钥(带有sbsign的自签名shim)和加密的根分区,以安全引导我的ubuntu安装。但这仅验证grubx64.efi和内核,而不能保护未加密启动分区上的initrd.img和grub.cfg文件免受恶意修改。 那么,在使用它们引导之前,如何验证initrd和grub的配置(可能使用sha256哈希)?验证可以在垫片,grub或其他我可能使用的其他工具中进行,以补充或替代垫片和/或grub。 这个问题的目的是防止在修改后的环境(内核命令行和initrd)下执行内核,以防止将根分区加密密码泄漏到任何地方。 尽管已经阅读了几天有关安全启动的Web教程/博客,但仍未找到任何方法来验证启动配置,包括Ubuntu和Linux Foundation的PreLoader.efi,所有这些都解释了如何验证包括内核模块在内的可执行文件的工作方式,但是没有一个其中提到了grub.cfg和initrd(其中的shell脚本和配置文件),因此看起来我是第一个在引导过程中要求验证非二进制文件的人。我发现过的最好的资料是罗德·史密斯(Rod Smith)的资料。 我还没有尝试过修改shim或grub的源代码,创建一个fork或直接对其进行贡献。那是唯一的方法吗?

1
最新的Ubuntu和安全启动
谁能告诉我是否有必要,甚至建议在执行全新Ubuntu安装之前禁用UEFI中的安全启动? 与CSM或传统引导(BIOS)模式相同。 在我最近一次安装(Ubuntu-mate 16.04)之前,我没有改变它们的默认设置(启用),仅禁用了UEFI中的快速启动。 我的ASUS UEFI-BIOS中启用了CSM意味着支持UEFI + Legacy Oprom,我认为这意味着首先尝试UEFI并在不支持UEFI的情况下恢复到BIOS Legacy。 尽管在UEFI识别新安装的Linux之前我不得不引导几次,但似乎没有其他问题。只是想知道“禁用安全启动”仅适用于旧版本的Ubuntu,还是这样做还有其他优势?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.