http://forum.rutoken.ru/topic/3255/

А разве нельзя программно перешить BIOS пока ты смотришь новости в своем браузере

Нет. У своего браузера нет рутового доступа чтобы что-то прошить.

и чатишься в телеграмме?

Так тебе безопасность или использовать всякий кал? Запускай телеграмы и прочие вацапы в виртуалке.

Не надежнее уж и вовсе отказаться от X86

Недёжнее. Но безопасность не в железе, она в головах. Если тебе важнее «чатиться в телеграме» то вряд-ли тебя хоть как-то заботит безопасность.

Без блобов контроллера памяти?

Они только с SandyBridge начали требоваться, ЕМНИП. Не используй железки с SandyBridge и новее, только и всего.

Нет. У своего браузера нет рутового доступа чтобы что-то прошить.

И Spectre нет?

и чатишься в телеграмме? Так тебе безопасность или использовать всякий кал? Запускай телеграмы и прочие вацапы в виртуалке.

Так в виртуалке и запускал, но пока не использовал

lockdown=confidentiality randomize_kstack_offset=on

Телеграм мне регулярно завешивал комп, отжирал оперативку и творил другие непотребности. И вероятно кто-то перешивал BIOS, потому что для перезагрузки мне приходилось заново его прошивать из DOS, иначе Linux ядро хоста на следующем ребуте тупо не стартовало, а висло при загрузке модулей. Причем зависело от версии ядра, проверял на LiveCD с разными версиями.

Недёжнее. Но безопасность не в железе, она в головах. Если тебе важнее «чатиться в телеграме» то вряд-ли тебя хоть как-то заботит безопасность.

Поразительный вывод. Просто телеграм вероятно надо использовать на отдельной железяке, потому что кондомы типа KVM совсем не помогают. Прорваться сквозь изоляцию KVM на X86 не так уж трудно последнее время, судя по гуглингу. Так что без разницы запустишь ты его под рутом на своем любимом ноуте или под guest_nouser и KVM, который сам запущен под host_nouser.

Только воздушная изоляция поможет отцам русской демократии.

Недёжнее. Но безопасность не в железе, она в головах.

А что скажешь про загрузку с PXE/TFPT сервера, запущенного на древнючей шарманке типа i486/i586 с CDROM того же года выпуска? Какой-нибудь древний OpenBSD например в качестве бутсервера?

Какие подводные камни? Блобы с прошивках сетевух загружаемых хостов? Подделка сетевых пакетов, что может помешать загрузиться с правильного хоста? Но ведь можно отфильтровать по MAC адресу и грузиться не по DHCP с любого, а по конкретному MAC адресу TFTP сервера?

Не лучше ли вот все эти ваши signed secure boot файлы хранить на CDROM болванке, «в трее замазанном эпоксидкой» или типа того?

Причем сам PXE сервер можно выполнить в виде LiveCD, записанном на ту же самую одноразовую болванку.

Т.е. чтобы PXE сервер грузился с readonly LiveCD и раздавал readonly образы нужных ядер с той же самой readonly болванки.

И Spectre нет?

И чем может помочь Spectre, даже если он есть? Лет через 500 прочесть таки один байт из /etc/shadow ?

Телеграм мне регулярно завешивал комп, отжирал оперативку и творил другие непотребности.

Мыши плакали, кололись, но, сцуко, продолжали жрать кактус.

Просто телеграм вероятно надо использовать

А мысль вообще не использовать это говно в голову не приходила?

Зачем весь этот геморрой, если можно просто взять SBC на Allwinner A10/A20 и запускать на нём всё что нужно? Или старый x86 типа Core2Duo на материнке поддерживаемой coreboot без блобов, если уж x86 очень хочется.

можно потратить 200мб оперативки и пару процентов проца, что бы перекинуть все ресурсы в виртуалку. Собрать под это отдельную лайт сборку в грубе. Будет тот же дуалбут с виндой, только через KVM и со своими сертификатами

Зачем весь этот геморрой, если можно просто взять SBC на Allwinner A10/A20 и запускать на нём всё что нужно?

Что полезного для десктопа ты запустишь на одноплатниках?

IMHO OpenBSD Xenocara X11 на управляющем хосте и Alpine/Devuan + Ignite + Firecracker на остальных, и потом цепляться к ним по ssh -X gui_soft?

Но как гарантировать немодификацию их файловых систем на microSD карточках? Грузить все одноплатники по PXE с болванки CDROM на 30 летнем пеньке? Карточки можно вообще не использовать. Использовать только раздачу NFS/iSCSI с отдельного ZFS сервера, который сам тоже на одноплатнике с SATA разъемом + SATA хабом на несколько дисков?

Бывают ли одноплатники, которые могут стартануть с древнего IDE CDROM? Вероятно нет, от силы SATA с переусложненным EFI и т.п., зачем все это когда можно поднять PXE на OpenBSD на пеньке с CDROM.

Или старый x86 типа Core2Duo на материнке поддерживаемой coreboot без блобов, если уж x86 очень хочется.

И сколько там всего перешиваемого в той же к примеру Gigabyte G41M ? Пока работает комп ее перешьют вдоль и поперек, включая контроллеры?

IMHO схема такая:

1. OpenBSD PXE сервер на древнем пеньке с readonly LiveCD - источник траста и загрузчик для всех остальных хостов. Он же NFS и iSCSI сервер для безопасного проксирования файловых систем со следующего сервера ZFS хранилища.

2. ARM одноплатник с SATA разъемом + SATA хабом, на нем Alpine или NetBSD в качестве ZFS storage для корневых файловых систем остальных хостов, снэпшоты для отслеживания изменений. Его блоки сначала идут например по iSCSI на OpenBSD и оттуда безопасно раздаются остальным хостам ибо доверия линупсу в качестве сетевого сервиса особо нет, дай Бог ему обеспечить ZFS хранилку.

3. Одноплатник для рабочей станции, что-то типа Beaglebone Black, на нем OpenBSD, загрузка по PXE, корень и остальные файловые системы на ZFS хранилке. Что-то наверно можно хранить и локально на microSD карточке.

4. Остальные одноплатники образуют некий кластер для запуска GUI программ: всяких телеграм, skype, браузеров и т.п. На них K3S + Kata + Firecracker либо Ignite + Firecracker для запуска контейнеров или копий контейнеров, внутри каждого из которых SSHD + гуишные проги.

На всех одноплатниках надо снять паяльным феном лишние беспроводные чипы.

А мысль вообще не использовать это говно в голову не приходила?

Так он нужен не для персонального общения, а для чатиков, общения с community и т.п. Как ты предлагаешь его заменить и на что? Заставить всех перейти в Jabber, потому что тебе так захотелось?

Остальные одноплатники образуют некий кластер для запуска GUI программ: всяких телеграм, skype, браузеров и т.п. На них K3S + Kata + Firecracker либо Ignite + Firecracker для запуска контейнеров или копий контейнеров, внутри каждого из которых SSHD + гуишные проги.

https://github.com/weaveworks/ignite

Безопасна ли systemd? (комментарий)

Безопасна ли systemd? (комментарий)

Что полезного для десктопа ты запустишь на одноплатниках?

Что угодно.

Пока работает комп ее перешьют вдоль и поперек, включая контроллеры?

Конечно перешьют, если запускать

телеграм, skype, браузеров и т.п.

Ну вот зачем запускать телеграмы со скайпами, и левые браузеры если переживаешь за безопасность? Либо телеграм, либо безопасность. Используешь телеграм - забудь о безопасности. Хочешь безопасности - не используй телеграм. Это же так просто.

Используй, например, жаббер, tox и NetSurf и волосы будут мягкими и шелковистыми.

Например, рабочая станция грузится так:

Beaglebone Black -> PXE -> Ethernet -> OpenBSD TFTP -> LiveCD.

Beaglebone Black -> NFS/iSCSI -> Ethernet -> OpenBSD iSCSI Target & client -> Ethernet -> Alpine ZFS на одноплатнике с SATA.

Заставить всех перейти в Jabber, потому что тебе так захотелось?

Ну так реши уже наконец, что для тебя важнее, безопасность или социальный конформизм? Если ты важен для твоего community, то community без проблем переедет на жаббер, чтобы не рисковать твоей безопасностью. Если ты для community настоклько не важен, что им насрать на твою безопасность, то нафиг такое community, с таким community никакой безопасности быть не может, они же тебя и сдадут если что, при первой же возможности, даже если у тебя будет сверхбезопасный комп.

Ну так реши уже наконец, что для тебя важнее, безопасность или социальный конформизм?

Вероятно на рабочей станции нужна безопасность, а на отдельном аппаратном хосте социальный конформизм, так нормально?

Если ты важен для твоего community, то community без проблем переедет на жаббер, чтобы не рисковать твоей безопасностью.

Зачем им это, когда для Телеграмма можно использовать отдельные небезопасные железяки?

Если ты для community настоклько не важен, что им насрать на твою безопасность, то нафиг такое community, с таким community никакой безопасности быть не может, они же тебя и сдадут если что, при первой же возможности, даже если у тебя будет сверхбезопасный комп.

Так я не занимаюсь чем-то таким, из-за чего меня можно было бы кому-то сдать. В телеграмме мне нечего скрывать из того, что я пишу.

А на рабочей станции хотелось бы скрыть как минимум персональную инфу и свои сорцы, обеспечить целостность файлов и т.п.

Смотреть на опасный телеграм на опасном хосте с безопасного компа через VNC безопасно?

Workstation on BBB -> VNC -> Ethernet -> Other host with Telegram in TigerVNC session.

Так я не занимаюсь чем-то таким, из-за чего меня можно было бы кому-то сдать. В телеграмме мне нечего скрывать из того, что я пишу.

Тогда ты не представляешь никакого интереса для тех, кто мог бы тебе что-то там удалённо перешить.

А на рабочей станции хотелось бы скрыть как минимум персональную инфу и свои сорцы, обеспечить целостность файлов и т.п.

Для этого более чем достаточно просто запускать твой телеграм из-под firejail. Он просто не увидит никаких твоих файлов даже если очень захочет, потому что будет работать с виртуальным хомяком.

Кстати хотел уточнить про Macintosh, которые на базе PowerPC, у них с перешиванием тоже все плохо, как и на X86?

Нет ли PowerPC с неперешиваемыми BIOS и контроллерами, чтобы либо ПЗУ либо хотя бы механнический переключатель для возможности менять содержимое ППЗУ?

Для SandyBridge в coreboot есть опенсорсный Native Raminit, это не то?

Конечно перешьют, если запускать телеграм

А почему конечно? Разве телеграм не open source?

Для этого более чем достаточно просто запускать твой телеграм из-под firejail. Он просто не увидит никаких твоих файлов даже если очень захочет, потому что будет работать с виртуальным хомяком.

Сквозь QEMU-KVM пролезет, а через firejail нет?

Уж не лучше ли запускать его в Ignite Firecracker?

А разве нельзя программно перешить BIOS

Intel Boot Guard включить и публичный ключ свой прописать, включается только раз и ключ записывается в ROM без физической возможности изменения публичного ключа и отключения верификации.

BIOS/UEFI и все настройки с ключами Secure Boot аппаратно верифицируются публичным ключом Intel Boot Gurd.

Ждём когда отзовут ключи у дырявого GRUB. Он для UEFI нет так уж и нужен, можно загрузить ядро напрямую.

Кстати хотел уточнить про Macintosh, которые на базе PowerPC, у них с перешиванием тоже все плохо, как и на X86?

Нет ли PowerPC с неперешиваемыми BIOS и контроллерами, чтобы либо ПЗУ либо хотя бы механнический переключатель для возможности менять содержимое ППЗУ?

Тема эта всплывает здесь часто. Проблема именно в производителях мамок. Говорят, что если 1 дорожку SPI Flash заземлить то запись на нее становится физически невозможна. Реализовано только на мамках с хромебука.

Незыблемые правила Integrity.

Ключи:

1. Intel Boot Guard.
2. Secure Boot.
3. GRUB2.
4. IMA/EVM.
5. Linux Kernel Module Signing Key.

A. должны создаваться пользователем компа.

B. в рабочей системе должен быть только публичный ключ для верификации.

C. Все что исполняется, а также не изменяемые структуры должны верифицироваться с помощью публичного ключа.

Все кто скажет другое, и упомянет shim с подписью M$, - еретики которых надо сжигать вместе с разрабами сыстемдЫ.

Говорят, что если 1 дорожку SPI Flash заземлить то запись на нее становится физически невозможна.

А попроще что-нибудь, если в помещении нет настоящей земли.

Просто на общий проводник соединить или через резюк или еще как-то. Или откусить какие-то ноги или еще чего-то ? :) Неужели ничего не предумали до сих пор? Пора бы уже сделать совместимые аналоги, чтобы можно было заменить SPI чип на свой ПЗУ, который создается копированием содержимого? Т.е. выпаиваем штатный SPI копируем содержимое в чип с одноразовой записью и впаиваем обратно уже колодку для нового readonly чипа, неужели такого нет?

Незыблемые правила Integrity. Ключи: Intel Boot Guard. Secure Boot.

Чем PXE boot с readonly болванки LiveCD на древнем ноуте хуже?

GRUB2. В нем буткиты от АНБ.

Linux Kernel Module Signing Key. Может быть просто собрать ядро без подгружаемых модулей и выкинуть все лишние?

Как контролировать целостность файловой системы кроме как через apt debsums постфактум, но ведь надо еще аутентичную базу и запускать снаружи из chroot с аутентичными своими копиями бинарей debsums, bash, etc.?

Т.е. при проверке chroot только для удобного пути, а все остальные тулзы должны быть предоставлены снаружи через mount –bind с надежного LiveCD?

А как все это делать online, а лучше бы и вовсе блокировать попытки записи. MAC SELinux/AppArmor? Но ведь верификация чексумм все равно не лишняя? Особенно желательно online во время запуска?

и впаиваем обратно уже колодку для нового readonly чипа, неужели такого нет?

А куда девать CMOS :)

Казалось бы, причем тут secureboot. Тред не читал

не проверяет подпись grub, а виноват secure boot - это какая-то шиза?

Secure boot гарантирует загрузку правильно подписанного загрузчика. Дальше его полномочия всё. Ранее, до введения secure boot можно было грузить любую фигню и подменять ее как душе угодно - то есть защиты не было в принципе.

Ну и да, во-первых, grub - не единственный загрузчик, а во-вторых, на случай тотальной паранойи есть integrated initramfs. Да, это менее удобно, ну так безопасность = 1/удобство, а как ты хотел?

Secure Boot основывается на том, что подписи не выдаются кому попало. Выходит, что grub это тот самый кто попало, кому выдали подпись. Так что да, виноват Secure Boot. У grub надо отозвать подпись, пока они не исправят свои баги, чтобы неподписанный initramfs не передавался ядру.

Если я не хочу безопасность и хочу удобство, я просто отключаю secure boot (disclaimer: лично у себя я в итоге так и сделал).

Secure Boot основывается на том, что подписи не выдаются кому попало.

Если у тебя железка с Secure Boot, где нельзя загрузить свои ключи, а прошито только вендорское говно, то это не безопасность - а говно собачье. Ключи должны быть своими. А если такое не возможно - то лучше даже не начинать.

Всё с точностью до наоборот. Ключи должны быть вендорскими. Потому, что ни один адекватный пользователь кроме самых фричайших из фриков не будет никакие ключи загружать. Если безопасность не работает из коробки, значит безопасности нет.

Всё с точностью до наоборот. Ключи должны быть вендорскими.

Вкупе с невозможностью ставить свои ключи это называется vendor lock-in.

За такое лет 10 назад на ЛОРе тебя бы погнали тряпками, смоченными в чём-то плохо пахнущем :-/

Но видимо пластмассовый мир победил...

Вкупе с невозможностью ставить свои ключи это называется vendor lock-in.

Я ничего не имею против возможности ставить свои ключи. Просто эта возможность мало кому нужна. Думаю, гигантам вроде Google, это может быть интересно, не более.

А учитывая, что MS подписывает всякие shim-ы, локином это назвать язык не поворачивается.

Но видимо пластмассовый мир победил…

Используете ли вы Secure Boot на своих компьютерах? если подтвердят, проверишь, кто победил.

А учитывая, что MS подписывает всякие shim-ы, локином это назвать язык не поворачивается.

Сегодня подписывает, а завтра нет.

Если я не хочу безопасность и хочу удобство, я просто отключаю secure boot (disclaimer: лично у себя я в итоге так и сделал).

Надеюсь ещё и LUKS выкинул на мороз?

Зачем? LUKS обеспечивает реальную безопасность и при этом нисколько не мешает удобству использования.

Разве что от мамкеных хакеров, да при простой потери устройства.

Ранее, до введения secure boot можно было грузить любую фигню и подменять ее как душе угодно - то есть защиты не было в принципе.

Так никто и не ответил.

Чем загрузка по PXE с первого пенька с OpenBSD+CDROM хуже secure boot, при условии, что пенек замурован от замены болванки и кроме CDROM в нем нет никаких запоминающих устройств (даже readonly) кроме собственно маленького бивиса?

Если уж на то пошло, как щас помню, в 1994 году в сети NetWare были персоналки i286 с 1Mb RAM и сервера i386 с 8Мб RAM.

Признавайтесь, какой самый древний и в то же время безопасный LiveCD можно на них запусить? Наверно тот же самый самоделешный OpenBSD типа FuguIta ?

http://fuguita.org/

Взять опенка самых древних версий 2x, 3x, etc. Поднять на нем PXE для раздачи современных ядер для остальных одноплатников, у которых readonly BootROM ?

А у меня других опасностей нет. Я не сноуден, мне АНБ в клавиатуру жучка подсаживать не будет, а если КНБ заинтересуются, они мне просто зубы напильником будут пилить, пока я всё не скажу, что нужно. А вот какой-нибудь уродец стырить ноут из машины вполне может. Не то, чтобы там какие-то очень уж ценные файлы были, но всё равно спокойней будет спать, зная, что к ним доступ никто не получит.

замурован от замены болванки

Так при условии отсутствия физического доступа к потрохам системного блока Secure Boot понятное дело не нужен

Так при условии отсутствия физического доступа к потрохам системного блока Secure Boot понятное дело не нужен

Вот уж не скажи, про буткиты слыхал? Они и бивис могут подшить и фирмвари различных плат расширения и контроллеров и при этом даже не положат тебе на стол отчет о проделанных действиях.

А буткиты разве не могут заменить собой secure boot?

Ядро secure boot находится в неперепрошиваемом ПЗУ?

А у меня других опасностей нет. Я не сноуден, мне АНБ в клавиатуру жучка подсаживать не будет

Пипец, где вы таких мультов обсмотрелись, даже у национальных отделов К есть электромагнитные сканеры, считывающие монитор и клаву дистанционно с улицы еще в конце прошлого века, а то и вовсе доступ к буткитам. Сейчас наверно уже можно мониторить вас с дрона, если не со спутника …

Жучки - это из фильмов для чукотских наивных юношей о чукотских кацкерах.

Секуребут нужен что бы буткиты не лепили. Это в первую очередь. Конечно, в плане практической реализации все плохо, в особенности из-за «Просто эта возможность мало кому нужна» и частых ошибок из-за которых можно прошить SPI прям из ОС всё это как-то не очень реально

Я ничего не имею против возможности ставить свои ключи. Просто эта возможность мало кому нужна. Думаю, гигантам вроде Google, это может быть интересно, не более.

Зачем тебе вообще тогда секуребут?