linux uefi совместно с windows

Может ли в данном случае вирус…

Может. Для этого не нужен ни линух, ни виндовс. Достаточно - «допустим».

можно ли на одном жестком диске делать два uefi раздела?

Можно. Но спрашивай у своего конкретного УЕФИ, как он отнесётся к двум ESP.

И можно ли на одном жестком диске делать два uefi раздела?

У меня при установки CachyOC сказал что 200Мб ему мало для uefi раздела, пришлось создать второй. В записи NVRAM прописывается UUID uefi раздела, так что из этого вывод можешь делать их хоть 10.

Может ли в данном случае вирус из uefi windows попасть в uefi linux?

Тут скорее вопрос может ли вирус получить доступ к разделу ESP для записи. А они имеют одинаковый статус, так что если создашь второй раздел ESP, это не значит что у него появится аура защищённости в противовес первому разделу ESP.

а будет ли legacy безопаснее uefi?

https://www.altlinux.org/DualBoot_%D0%B2_%D0%BA%D0%B0%D1%80%D1%82%D0%B8%D0%BD%D0%BA%D0%B0%D1%85_new

Перед действиями вопрос сформулируй: думаю быстро ответят.

Может ли в данном случае вирус из uefi windows попасть в uefi linux?

Что ты под этим понимаешь? И что значит «uefi windows» или «uefi linux» в твоём понимании?

а будет ли legacy безопаснее uefi?

Безопаснее в чём? В чём сейчас ты видишь опасность?

И можно ли на одном жестком диске делать два uefi раздела?

но зачем? Просто засунь в ESP линуксовый загрузчик типа refind, не трогай там виндовые файлы, и никаких проблем никогда не будет.

Самая опасная опасность от i3344.

Может ли в данном случае вирус из uefi windows попасть в uefi linux?

Может. В пределах одного компьютера может всё что угодно случиться.

И можно ли на одном жестком диске делать два uefi раздела?

Нет. Раздел должен иметь определённую метку. Это как если ты захочешь создать два файла с одним именем.

а будет ли legacy безопаснее uefi?

Нет. Безопасность это не состояние а процесс.

Вот что мне ответила Алиса Яндекса –Вирус из UEFI Windows может попасть в UEFI Linux, если злоумышленники модифицируют код UEFI и используют его для доставки вредоносного ПО. Это возможно, так как UEFI — это ПО, которое запускается при старте компьютера, ещё до запуска самой операционной системы. linux.org.ru kaspersky.ru habr.com Некоторые сценарии атаки: Подмена цепочки загрузки (буткиты). Злоумышленники подменяют или встраиваются в цепочку загрузки компьютера (файлы shim, bootmgfw.efi, драйверы). securitylab.ru Внедрение модулей прямо в прошивку материнской платы. Например, использование уязвимостей в UEFI, которые позволяют запустить вредоносную микропрограмму на ранних этапах загрузки. securitylab.ru arstechnica.com forum.ixbt.com Использование вредоносных изображений логотипов (например, LogoFAIL). Злоумышленники заменяют легитимные изображения логотипов на идентичные, специально созданные для использования уязвимостей, и запускают вредоносный код на этапе загрузки (DXE). arstechnica.com forum.ixbt.com

efi-программы ВСЕ одной архитектуры, для любой операционной системы. Это стандарт. Так что в пределах одного ESP оно может размножаться свободно.

Я про это и говорю. В legacy загрузчики раздельные и никак не связаны

Там может быть заражён сам чип или устройство, которое этот чип опрашивает — код там исполняется без песочницы, как это реализовано в UEFI.

И можно ли на одном жестком диске делать два uefi раздела?

Нет. Раздел должен иметь определённую метку. Это как если ты захочешь создать два файла с одним именем.

Это как два раздела отформатировать в ntfs, возможно?

а будет ли legacy безопаснее uefi?

Может и нет, но кому нужен твой комп? А вот мучений прибавиться. В legacy у меня все образы грузятся с жёсткого диска, а в uefi только один-два с отключенной безопасностью загрузки. Если бы я заранее изучил бы тему при покупке компа, я бы долго выбирал и может нашёл бы компромисс. Но сейчас, чтобы включить legacy у меня отрубится видюха-встройка.

Для защиты есть Secure Boot - включи.

Спроси так же у Алисы, что это, зачем и что даёт.

А так, если вирус правильный, то в случае отдельного раздела для Linux / Windows ничего не изменится. UEFI раздел, как правило - FAT32, т.е. читается и пишется из обоих ОС. Следовательно без Secure Boot ничего не даст создание отдельного раздела UEFI для ОС.

Secure boot просто проверяет подписи мелкомягких на всех запускаемых файлах. А причем здесь линукс?

Почитай ещё раз, что такое Secure Boot, зачем и что даёт. И в целом, что такое подпись, как она проверяется и зачем.

Вот ответ Алисы—Secure Boot — это технология безопасности, разработанная компанией Microsoft совместно с производителями оборудования для защиты процесса загрузки операционной системы от вредоносных программ. Она является частью спецификации UEFI (Unified Extensible Firmware Interface) и заменяет устаревший BIOS. serverspace.ru

Спрашивай дальше у Алисы и тебе уже косвенно дали ответ для чего эта технология. За подробностями как она эта выполняет - спрашивай дальше или читай сам. Вместо запросов к роботам.

Покажите мне secure boot который проверяет линуксовые подписи linux fundation и linux kernel. Мелкомягким на это пофиг

Это как два раздела отформатировать в ntfs, возможно?

Нет. Любой раздел может иметь любую уникальную метку, это не тип файловой системы, это именно служебная информация, по ней UEFI ищет ESP.

Хватит писать чушь. Ещё раз, прочти что делает технология Secure Boot и что будет после её включения. Не мешай мух с котлетами.

По твоим ответам ты троль и тебя скоро забанят. Либо недалёкий человек, не умеющий обрабатывать информацию, а только спрашивать простые вопросы у ИИ и получать простые ответы, без глубины понимания.

по ней UEFI ищет ESP

Ищет по UUID, который один. У меня же два ESP, я думал тебе скрин показать, но с чего я должен показывать тебе свою файловую систему? Просто попробуй сам создать ещё один раздел ESP и потом скажешь мне получилось или нет.

Ты можешь сделать свои подписи, в том числе и для устройств и их драйверов. В итоге на машине не будет запускаться ничего кроме одобренного лично тобой.

по ней UEFI ищет ESP

Вот видос с привязкой по времени, сразу попадёшь и увидишь два ESP.

А вот другая метка времени, где показано что к записи привязывается UUID.

Это уже ближе к правде. Так какие подписи будут проверяться при дуалбуте? Может ли secure boot иметь несколько наборов подписей и для винды и для линукса и т.д.? А то непонятки с подписями.

Может ли secure boot иметь несколько наборов подписей и для винды и для линукса и т.д.? А то непонятки с подписями.

Сам не пробовал, но насколько я слышал, добавляется подпись на загрузчик собранный авторами убунты и он грузит только убунту и ничего другого.

А могу ли я в дуалбуте загружать и винду и кастомные сборки убунты и при этом иметь включеный secure boot?

Просто попробуй сам создать ещё один раздел ESP и потом скажешь мне получилось или нет.

Просто прочитай стандарт.

А могу ли я в дуалбуте загружать и винду и кастомные сборки убунты и при этом иметь включеный secure boot?

Могу гипотетически предположить, что можешь через загрузчик винды загружать винду, а через загрузчик убунты загружать убунту. Остальное можно узнать только тестом. Лично я у себя сразу отключил «secure boot» и больше не включал.

Просто прочитай стандарт.

Просто посмотри скрин.

гипотетически

На практике загрузчиков в ESP может лежать сколько угодно по пути ESP\<vendor>\BOOT<arch>.EFI. Выбор между ними производится в специальном меню. Если такого меню нет, можно использовать загрузчик, который умеет chainload.

Почто мне твой скрин? Вендор может городить какие угодно костыли, их переносимость может гарантировать только стандарт.

У меня при включенном secure boot не запускалось половина кастомных сборок windows live usb и половина кастомных linux live usb. Я поэтому и хотел разобраться с этими подписями. Сейчас сижу с отключенным secure boot.

На практике загрузчиков в ESP может лежать сколько угодно по путиESP\<vendor>\BOOT<arch>.EFI

У меня так и есть, я их туда положил несколько для теста и добавлял несколько записей, чтобы проверить какой всеядный и может загрузить больше образов ISO. Но потом я просто в Grub2 добавил загрузку другого файла UEFI и понял что мне не надо в NVRAM пихать новые записи.

menuentry "mint -> grubx64.efi" --class menu {
  insmod part_gpt
  insmod fat
  search --no-floppy --fs-uuid --set=root ТУТ_ВАШ_UUID
  chainloader /EFI/mint/grubx64.efi
}

Именно это и происходит у всех, кто понятия не имеет, что у них включен ‘secure boot’. А он включен у всех, кто не имеет понятия.

У меня при включенном secure boot не запускалось половина кастомных сборок windows live usb и половина кастомных linux live usb. Я поэтому и хотел разобраться с этими подписями. Сейчас сижу с отключенным secure boot.

На то он и secure boot, чтобы не давать запускать что-то левое.

Вот Алиса—Технология Secure Boot (часть спецификации UEFI) может иметь несколько наборов цифровых подписей для разных операционных систем. Это связано с иерархической системой ключей, которая используется в Secure Boot. securitylab.ru dzen.ru ru.wikipedia.org* Некоторые базы данных ключей: Platform Key (PK) — главный ключ платформы, обычно принадлежит производителю материнской платы. Key Exchange Keys (KEK) — ключи обмена, используются для подписи изменений в других базах данных. Обычно производитель материнской платы добавляет свой KEK, а Microsoft — свой для обеспечения совместимости с Windows. Signature Database (db) — содержит ключи и хеши программ, которым разрешено загружаться. Когда SecureBoot проверяет подпись загрузчика, он ищет соответствующий ключ именно здесь. Forbidden Signature Database (dbx) — «чёрный список» отозванных ключей и подписей. Если подпись программы попала в dbx, такая программа заблокируется, даже если соответствующий ключ есть в db.

Для GRUB был Shim, подписанный ключом Microsoft, через который можно было добавить свои подписи в Secure Boot, далее ими (своими подписями) подписать свои загрузчики, ядра, драйверы и получить полную цепочку верификации.

В части современных UEFI есть возможность добавить свои ключи из самого UEFI.

Закрытую часть ключа, конечно, нужно хранить где-то.

Вопрос к специалистам по безопасности. Нужно ли включать secure boot или это не особо важно?

Т.е. в случае Secure Boot должно быть подписано ядро и все драйверы (модули), работающие в пространстве ядра.

В популярных дистрибутивах ядро и сторонние драйверы (модули) подписаны ключом Microsoft, по крайней мере так было раньше, Microsoft предоставляла такой сервис.

Сейчас не знаю. В Ubuntu должно быть.

А вот если ты собираешь модуль VirtualBox и ставишь его руками - такой модуль не загрузится в ядро. Только если добавишь свои ключи и подпишешь.

Т.е. в случае Secure Boot должно быть подписано ядро и все драйверы (модули), работающие в пространстве ядра.

Если это умеет сделать установщик, то в чём проблема хакеру повторить также добавление подписей и загрузить свой вирус?

Вообще Microsoft часто создаёт очередную сложную сущность, которая временно ограничивает хакерам свободу действий, пока они не изучат в совершенстве как работает эта сущность. А когда они прознают, то Microsoft введёт другую сущность.

Если это умеет сделать установщик, то в чём проблема хакеру повторить также добавление подписей и загрузить свой вирус?

Установщик Debian / Ubuntu в случае Secure Boot подписан ключом Microsoft, т.е. хакеру нужно иметь так же верифицированный загрузчик, подписать свой модуль к UEFI или модуль ядра ключом Microsoft или иным, добавленным в прошивку.

https://www.securitylab.ru/news/563582.php

Решением стал компонент shim, подписанный Microsoft, который позволял добавлять собственные ключи и доверенные сертификаты

То есть уже не надо просить Microsoft?

Проверь, везде свои нюансы.

Кругом мелкомягкие со своими подписями. Я про это писал выше, но меня обозвали троллем

Всегда есть варианты и не только от «мелкомягких». Как сделать по иному никто тебе не обязан объяснять, информация лежит на поверхности, открой google или яндекс.

Удачи.

Проверь, везде свои нюансы.

Пока лень экспериментировать, но когда я положил shim от федоры я немного опупел, он сам добавил запись в NVRAM при загрузке и высветился в меню UEFI, а я просто файл положил на попробовать.