LINUX.ORG.RU

linux uefi совместно с windows

 


0

1

Здравствуйте. Допустим я установил линукс рядом с виндой. Раздел efi использовал виндовской. Может ли в данном случае вирус из uefi windows попасть в uefi linux? И можно ли на одном жестком диске делать два uefi раздела?


Может ли в данном случае вирус…

Может. Для этого не нужен ни линух, ни виндовс. Достаточно - «допустим».

можно ли на одном жестком диске делать два uefi раздела?

Можно. Но спрашивай у своего конкретного УЕФИ, как он отнесётся к двум ESP.

andytux ★★★★★
()

И можно ли на одном жестком диске делать два uefi раздела?

У меня при установки CachyOC сказал что 200Мб ему мало для uefi раздела, пришлось создать второй. В записи NVRAM прописывается UUID uefi раздела, так что из этого вывод можешь делать их хоть 10.

Может ли в данном случае вирус из uefi windows попасть в uefi linux?

Тут скорее вопрос может ли вирус получить доступ к разделу ESP для записи. А они имеют одинаковый статус, так что если создашь второй раздел ESP, это не значит что у него появится аура защищённости в противовес первому разделу ESP.

AZJIO
()
Последнее исправление: AZJIO (всего исправлений: 1)

Может ли в данном случае вирус из uefi windows попасть в uefi linux?

Что ты под этим понимаешь? И что значит «uefi windows» или «uefi linux» в твоём понимании?

kostik87 ★★★★★
()

И можно ли на одном жестком диске делать два uefi раздела?

но зачем? Просто засунь в ESP линуксовый загрузчик типа refind, не трогай там виндовые файлы, и никаких проблем никогда не будет.

Lrrr ★★★★★
()

Может ли в данном случае вирус из uefi windows попасть в uefi linux?

Может. В пределах одного компьютера может всё что угодно случиться.

И можно ли на одном жестком диске делать два uefi раздела?

Нет. Раздел должен иметь определённую метку. Это как если ты захочешь создать два файла с одним именем.

mord0d ★★★★★
()
Ответ на: комментарий от kostik87

Вот что мне ответила Алиса Яндекса –Вирус из UEFI Windows может попасть в UEFI Linux, если злоумышленники модифицируют код UEFI и используют его для доставки вредоносного ПО. Это возможно, так как UEFI — это ПО, которое запускается при старте компьютера, ещё до запуска самой операционной системы. linux.org.ru kaspersky.ru habr.com Некоторые сценарии атаки: Подмена цепочки загрузки (буткиты). Злоумышленники подменяют или встраиваются в цепочку загрузки компьютера (файлы shim, bootmgfw.efi, драйверы). securitylab.ru Внедрение модулей прямо в прошивку материнской платы. Например, использование уязвимостей в UEFI, которые позволяют запустить вредоносную микропрограмму на ранних этапах загрузки. securitylab.ru arstechnica.com forum.ixbt.com Использование вредоносных изображений логотипов (например, LogoFAIL). Злоумышленники заменяют легитимные изображения логотипов на идентичные, специально созданные для использования уязвимостей, и запускают вредоносный код на этапе загрузки (DXE). arstechnica.com forum.ixbt.com

i3344
() автор топика
Ответ на: комментарий от mord0d

И можно ли на одном жестком диске делать два uefi раздела?

Нет. Раздел должен иметь определённую метку. Это как если ты захочешь создать два файла с одним именем.

Это как два раздела отформатировать в ntfs, возможно?

AZJIO
()
Ответ на: комментарий от i3344

а будет ли legacy безопаснее uefi?

Может и нет, но кому нужен твой комп? А вот мучений прибавиться. В legacy у меня все образы грузятся с жёсткого диска, а в uefi только один-два с отключенной безопасностью загрузки. Если бы я заранее изучил бы тему при покупке компа, я бы долго выбирал и может нашёл бы компромисс. Но сейчас, чтобы включить legacy у меня отрубится видюха-встройка.

AZJIO
()
Последнее исправление: AZJIO (всего исправлений: 1)
Ответ на: комментарий от i3344

Для защиты есть Secure Boot - включи.

Спроси так же у Алисы, что это, зачем и что даёт.

А так, если вирус правильный, то в случае отдельного раздела для Linux / Windows ничего не изменится. UEFI раздел, как правило - FAT32, т.е. читается и пишется из обоих ОС. Следовательно без Secure Boot ничего не даст создание отдельного раздела UEFI для ОС.

kostik87 ★★★★★
()
Ответ на: комментарий от i3344

Почитай ещё раз, что такое Secure Boot, зачем и что даёт. И в целом, что такое подпись, как она проверяется и зачем.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Вот ответ Алисы—Secure Boot — это технология безопасности, разработанная компанией Microsoft совместно с производителями оборудования для защиты процесса загрузки операционной системы от вредоносных программ. Она является частью спецификации UEFI (Unified Extensible Firmware Interface) и заменяет устаревший BIOS. serverspace.ru

i3344
() автор топика
Ответ на: комментарий от i3344

Спрашивай дальше у Алисы и тебе уже косвенно дали ответ для чего эта технология. За подробностями как она эта выполняет - спрашивай дальше или читай сам. Вместо запросов к роботам.

kostik87 ★★★★★
()
Ответ на: комментарий от AZJIO

Это как два раздела отформатировать в ntfs, возможно?

Нет. Любой раздел может иметь любую уникальную метку, это не тип файловой системы, это именно служебная информация, по ней UEFI ищет ESP.

mord0d ★★★★★
()
Ответ на: комментарий от i3344

Хватит писать чушь. Ещё раз, прочти что делает технология Secure Boot и что будет после её включения. Не мешай мух с котлетами.

По твоим ответам ты троль и тебя скоро забанят. Либо недалёкий человек, не умеющий обрабатывать информацию, а только спрашивать простые вопросы у ИИ и получать простые ответы, без глубины понимания.

kostik87 ★★★★★
()
Ответ на: комментарий от mord0d

по ней UEFI ищет ESP

Ищет по UUID, который один. У меня же два ESP, я думал тебе скрин показать, но с чего я должен показывать тебе свою файловую систему? Просто попробуй сам создать ещё один раздел ESP и потом скажешь мне получилось или нет.

AZJIO
()
Ответ на: комментарий от mord0d

по ней UEFI ищет ESP

Вот видос с привязкой по времени, сразу попадёшь и увидишь два ESP.

А вот другая метка времени, где показано что к записи привязывается UUID.

AZJIO
()
Последнее исправление: AZJIO (всего исправлений: 1)
Ответ на: комментарий от yars068

Это уже ближе к правде. Так какие подписи будут проверяться при дуалбуте? Может ли secure boot иметь несколько наборов подписей и для винды и для линукса и т.д.? А то непонятки с подписями.

i3344
() автор топика
Ответ на: комментарий от i3344

Может ли secure boot иметь несколько наборов подписей и для винды и для линукса и т.д.? А то непонятки с подписями.

Сам не пробовал, но насколько я слышал, добавляется подпись на загрузчик собранный авторами убунты и он грузит только убунту и ничего другого.

AZJIO
()
Ответ на: комментарий от i3344

А могу ли я в дуалбуте загружать и винду и кастомные сборки убунты и при этом иметь включеный secure boot?

Могу гипотетически предположить, что можешь через загрузчик винды загружать винду, а через загрузчик убунты загружать убунту. Остальное можно узнать только тестом. Лично я у себя сразу отключил «secure boot» и больше не включал.

AZJIO
()
Ответ на: комментарий от AZJIO

гипотетически

На практике загрузчиков в ESP может лежать сколько угодно по пути ESP\<vendor>\BOOT<arch>.EFI. Выбор между ними производится в специальном меню. Если такого меню нет, можно использовать загрузчик, который умеет chainload.

mord0d ★★★★★
()
Ответ на: комментарий от AZJIO

У меня при включенном secure boot не запускалось половина кастомных сборок windows live usb и половина кастомных linux live usb. Я поэтому и хотел разобраться с этими подписями. Сейчас сижу с отключенным secure boot.

i3344
() автор топика
Ответ на: комментарий от mord0d

На практике загрузчиков в ESP может лежать сколько угодно по путиESP\<vendor>\BOOT<arch>.EFI

У меня так и есть, я их туда положил несколько для теста и добавлял несколько записей, чтобы проверить какой всеядный и может загрузить больше образов ISO. Но потом я просто в Grub2 добавил загрузку другого файла UEFI и понял что мне не надо в NVRAM пихать новые записи.

menuentry "mint -> grubx64.efi" --class menu {
  insmod part_gpt
  insmod fat
  search --no-floppy --fs-uuid --set=root ТУТ_ВАШ_UUID
  chainloader /EFI/mint/grubx64.efi
}
AZJIO
()
Последнее исправление: AZJIO (всего исправлений: 1)
Ответ на: комментарий от i3344

У меня при включенном secure boot не запускалось половина кастомных сборок windows live usb и половина кастомных linux live usb. Я поэтому и хотел разобраться с этими подписями. Сейчас сижу с отключенным secure boot.

На то он и secure boot, чтобы не давать запускать что-то левое.

AZJIO
()
Ответ на: комментарий от AZJIO

Вот Алиса—Технология Secure Boot (часть спецификации UEFI) может иметь несколько наборов цифровых подписей для разных операционных систем. Это связано с иерархической системой ключей, которая используется в Secure Boot. securitylab.ru dzen.ru ru.wikipedia.org* Некоторые базы данных ключей: Platform Key (PK) — главный ключ платформы, обычно принадлежит производителю материнской платы. Key Exchange Keys (KEK) — ключи обмена, используются для подписи изменений в других базах данных. Обычно производитель материнской платы добавляет свой KEK, а Microsoft — свой для обеспечения совместимости с Windows. Signature Database (db) — содержит ключи и хеши программ, которым разрешено загружаться. Когда SecureBoot проверяет подпись загрузчика, он ищет соответствующий ключ именно здесь. Forbidden Signature Database (dbx) — «чёрный список» отозванных ключей и подписей. Если подпись программы попала в dbx, такая программа заблокируется, даже если соответствующий ключ есть в db.

i3344
() автор топика
Ответ на: комментарий от AZJIO

Для GRUB был Shim, подписанный ключом Microsoft, через который можно было добавить свои подписи в Secure Boot, далее ими (своими подписями) подписать свои загрузчики, ядра, драйверы и получить полную цепочку верификации.

В части современных UEFI есть возможность добавить свои ключи из самого UEFI.

Закрытую часть ключа, конечно, нужно хранить где-то.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от AZJIO

Т.е. в случае Secure Boot должно быть подписано ядро и все драйверы (модули), работающие в пространстве ядра.

В популярных дистрибутивах ядро и сторонние драйверы (модули) подписаны ключом Microsoft, по крайней мере так было раньше, Microsoft предоставляла такой сервис.

Сейчас не знаю. В Ubuntu должно быть.

А вот если ты собираешь модуль VirtualBox и ставишь его руками - такой модуль не загрузится в ядро. Только если добавишь свои ключи и подпишешь.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Т.е. в случае Secure Boot должно быть подписано ядро и все драйверы (модули), работающие в пространстве ядра.

Если это умеет сделать установщик, то в чём проблема хакеру повторить также добавление подписей и загрузить свой вирус?

Вообще Microsoft часто создаёт очередную сложную сущность, которая временно ограничивает хакерам свободу действий, пока они не изучат в совершенстве как работает эта сущность. А когда они прознают, то Microsoft введёт другую сущность.

AZJIO
()
Ответ на: комментарий от AZJIO

Если это умеет сделать установщик, то в чём проблема хакеру повторить также добавление подписей и загрузить свой вирус?

Установщик Debian / Ubuntu в случае Secure Boot подписан ключом Microsoft, т.е. хакеру нужно иметь так же верифицированный загрузчик, подписать свой модуль к UEFI или модуль ядра ключом Microsoft или иным, добавленным в прошивку.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

https://www.securitylab.ru/news/563582.php

Решением стал компонент shim, подписанный Microsoft, который позволял добавлять собственные ключи и доверенные сертификаты

То есть уже не надо просить Microsoft?

AZJIO
()
Ответ на: комментарий от i3344

Всегда есть варианты и не только от «мелкомягких». Как сделать по иному никто тебе не обязан объяснять, информация лежит на поверхности, открой google или яндекс.

Удачи.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Проверь, везде свои нюансы.

Пока лень экспериментировать, но когда я положил shim от федоры я немного опупел, он сам добавил запись в NVRAM при загрузке и высветился в меню UEFI, а я просто файл положил на попробовать.

AZJIO
()