LINUX.ORG.RU

Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot

 ,


0

0

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Кроме патчей для запрета kexec и hibernation при загрузке в режиме UEFI Secure Boot, Мэтью Гаррет опубликовал набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities — «CAP_COMPROMISE_KERNEL», предназначенный для выборочного предоставления привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot, но и в других ситуациях, требующих ограничения доступа к ядру.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)

Ответ на: комментарий от lucentcode

что мешает людям и дальше есть масло? зачем вообще эти линии на флагах?

Thero ★★★★★
()
Ответ на: комментарий от another

вам точно нужен секурбут? и да не волнуйтесь когда будет время придумают как вам вернуть секурбут+гибернэйт

Thero ★★★★★
()
Ответ на: комментарий от MyTrooName

хех, ну вы жгёте. ещё скажите что мышь не технически сложный товар.

Thero ★★★★★
()
Ответ на: комментарий от Thero

для этого проделаны серьёзные денежные вливания в производителей железок

Допустим. Но неужели за 10 с лишним лет нельзя было приспособить хибернейт под всё это? В чём проблема?

wintrolls ☆☆
()
Ответ на: комментарий от sv75

вот элегантный вариант: совместимость с ОС отличными от предустановленных не гарантирована.

Thero ★★★★★
()
Ответ на: комментарий от wintrolls

да ты шутишь? можно было, но половина кричит ненужно, другая кричит сделай мне так, 6 человек пилят в свободное время... туксонайс почемуто не хотят брать в основную ветку.

Thero ★★★★★
()
Ответ на: Вопрос от anonymous

1. есть, и ЕМНИП ребята из туксонайс уже имеют решение(или грозились что сделают) гарантирующее невозможность подмены и чтения файла гибернации путём его шифрования и подписи. ЕМНИП то ребятам из майкрософт фиолетово на проблему.

2. если купить лицензию с правами на запуск под виртуалками, то можно, а вот в каких именно виртуалках надо читать текст той самой лицензии...

3. правильнее поддерживать производителей которые заявляют совместимость с линуксом, например наличие в списке Ubuntu Certified почти гарантия( надо быть внимательными с оговоркой) и главное предупредите продавца что планируете ставить линукс и уточните, в адекватном магазине вам либо сразу посоветуют другое, либо протестируют( я бы не стал ибо тут рядом история про самсунги в которых бага убивающая фирмварь ноута при попытке загрузить линукс(в частности убунту) в режиме ефи)

Thero ★★★★★
()
Ответ на: комментарий от segfault

UEFI открытая спецификация, и да мы все за корбут! я вот ребятам даже денюжку задонэйтил.. немного правда если судить по тому сколько им надо, но что мог.

Thero ★★★★★
()
Ответ на: комментарий от cruxish

Фишка в том, что Secure Boot, в соответствии с названием, должен обеспечивать безопасную загрузку, т.е. удостовериться, что компоненты ОС не были изменены. В случае начальной загрузки это уже сделано в Fedora, а вот в случае с hibernate это сделать не так просто.

То есть производителям антивирусов и пользователям теперь можно расслабиться и больше не заботиться о безопасности а в это время кто-то станет подписывать свои вирусы крадеными ключами. Если проблемы не видишь, то её как бы и нет!

Napilnik ★★★★★
()
Ответ на: комментарий от anonymous

ну если ты получишь рабочую подпись на свой ефи драйвер\плагин.... ребята из уефи потому и заморочились секурбутом, что в отличие от БИОС беспредел, который могут натворить малавари с использованием UEFI интерфэйса куда шире.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Я не то чтобы не понимаю зачем это в ядре, я понимаю. Но меня коробят следующие вещи:

1) юзерам это не нужно, а код усложняет.

2) это делается из юзерспейс тремя строчками в конфиге, прости господи, systemd.

3) я отрицательно отношусь в урезании прав руту. Я понимаю когда есть отдельный рут с ограниченными правами в selinux, там это часть политики безопасности.

4) я не верю что нет пути это обойти

5) я не верю что для решения этой проблемы нужно обязательно выкорчёвывать гибернейт и суспенд.

Вот по совокупности этих факторов я бы не стал включать в ядро. Пусть какой-нить МСВС включает себе эти патчи.

true_admin ★★★★★
()
Ответ на: комментарий от AVL2

нет. UEFI это расширенный интерфейс взаимодействия с прошивкой системной платы(онже BIOS).

такчто:

sed 's/UEFI/SecureBoot/g'

Thero ★★★★★
()
Ответ на: комментарий от anonymous

гибернация не разрабатывалась для ускорения загрузки, она создана для сохранения рабочей сессии между отключениями питания.

Thero ★★★★★
()
Ответ на: комментарий от wintrolls

я раньше бы согласился, но у меня сейчас кде очень успешно рулит сессиями, даже фильм открывается на том месте где прервался, но да всякие хитрые штуки прерываются. поэтому хибернэйт нужен, а ещё больше нужны контейнеры с заморозкой ибо это будущее

Thero ★★★★★
()
Ответ на: комментарий от bohm

сказал бы при classic PC BIOS такого не было, но ведь было же! а вывод из этого такой: самсунг не тестирует свои прошивки со своими же плагинами для линуха.

Thero ★★★★★
()
Ответ на: комментарий от Thero

фиксирую 4.2 сворачиваю дискуссию.

А с тобой никто по этому вопросу и не дискутировал, прими таблэтки от мании величия.

Napilnik ★★★★★
()
Последнее исправление: Napilnik (всего исправлений: 1)
Ответ на: комментарий от Thero

а мы вообще материнки только на заказ возим.. покупатель всегда прав не хочет идти дальше пусть не ходит, не хочет разбираться в предмете пусть не разбирается, хочет чтоб его защитили от ошибки пусть нанимает доверенное лицо которое будет нести ответственность за подбор ему железа. тем не менее ты накидываешь говна несоразмерно вентилятору... он уже под ним не крутится.

У тебя есть собственный магазин торгующий правильными материнками? И как там с доставкой в любую страну мира, реквизитами для банковских переводов (палку и карточку не предлагать), наложенным платежом за пределами РФ, нормальным описанием товаров на русском, уточнения манагером всез заказов - вдруг на сайте очепятка или проданный товар;) Дай хоть ссылку посмотреть на такое чудо.

Napilnik ★★★★★
()
Ответ на: комментарий от anonymous

SecureBoot==UEFI\SecureBoot , но UEFI!=SecureBoot аналогично:
Linux==GNU\Linux, но GNU!=Linux

такчто либо говорите UEFI\Secureboot либо Secureboot, когда говорите про Secureboot

Thero ★★★★★
()
Ответ на: комментарий от xSudo

риск утечки данных превышает риск их уничтожения. поэтому под вскрыть невозможно мы принимаем как условие. моя смерть == уничтожению данных.

ЗЫ об чём и речь неадекваты из майкрософт осознали что секурбут решает им одну проблему даже вот в таком недоработаном виде и решили продавить, потомучто могут.

Thero ★★★★★
()
Ответ на: комментарий от vitalif

в очередной раз намекну что совать всем идею тивоизации компов начал интел... и кстати они кажется решат эту проблему продавая мать+проц в коробочке своего стандарта вместо материнок.

Thero ★★★★★
()
Ответ на: комментарий от bohm

Samsung обещал починить.

такой баг мог возникнуть в чём угодно.

хоть даже в звуковой карте :-)

user_id_68054 ★★★★★
()
Ответ на: комментарий от Thero

просто в заголовке новости нет:

ВНИМАНИЕ! НОВОСТЬ КАСАЕТСЯ ТОЛЬКО СЛУЧАЕВ ИСПОЛЬЗОВАНИЯ
СЕКЬЮРБУТ, ЕСЛИ ВЫ НЕ ПЛАНИРУЕТЕ ЕГО ИСПОЛЬЗОВАТЬ ПРОХОДИТЕ
МИМО!

точно! :-)

и вот именно таким капслоком надо писать! :-) :-)

user_id_68054 ★★★★★
()
Ответ на: комментарий от vitalif

зашифровал ты допустим диск, а я подменил тебе биос через дыру в драйвере мышки(пусть будет мышка -_-) и перехватываю всё что происходит без твоего ведома... оп

Thero ★★★★★
()
Ответ на: комментарий от alpha

всётаки наверное пора взрослеть нам и перестать желтить, хотябы в новостях на главной...

Thero ★★★★★
()
Ответ на: комментарий от emissar

было, есть даже наработки направленные на защиту свопа от модификации..

Thero ★★★★★
()
Ответ на: комментарий от bohm

а у меня бессонница -_- и чай кончился.

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

пользователям дальше уже некуда расслабляться, а антивирусопейсатели наоборот теперь должны поднапрячься. писать вирусы чтобы толкать лекарство от них теперь сложнее.

Thero ★★★★★
()
Ответ на: комментарий от Kroz

Имеем две независимые функции:
1) SecureBoot
2) Hybernate

они НЕ независимые , так как функция 2 протеворечит функции 1 :-) .

в таком уж случае давайте говорить об ТРЁХ разных режимах UEFI:

0. UEFI without_SecureBoot
1. UEFI with SecureBoot
2. UEFI with SecureBootIsNotNeeded (это кодовое название я придумал сам, только что.. по аналогии с Wine :))

в этом случае было бы тогда уж справедливо от некоторых комментаторов услышать комментарии о том что они хотят чтобы в Fedora была бы возможность использовать режим UEFI_with_SecureBootIsNotNeeded :-) , а вместо этого разработчики Федоры распыляют свои силы на ТОЛЬКО режим UEFI_with_SecureBoot

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от Quasar

SecureBoot мелкософт всё равно хочет сделать неотключаемым. Это под давлением общественности и только на x86 он отключаем.

если Майкрософт путём своего авторитетного давления начнёт «выпускать» ноутбуки (очевидно не x86), на которые нельзя будет ничего устанавливать кроме Microsoft Windows...

...то думаю нет никакой разницы какая для этого будет использовать технология тивизации :) .

тебе легче чтоле станет если тивизировать будут не через SecureBoot а через что-то другое?

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от true_admin

Мэт тоже вся новость в том что он указал в рассылке на проблему и предложил минимум одно простое её решение.

и да у нас любят из фразы представлен патч, читать приняли в ядро..

Thero ★★★★★
()
Ответ на: комментарий от Quasar

Вариант номер 4: пользователь выбрал венду, так как только она совместима с SecureBoot полноценно.

ну впринципе это возможно :-) ...

..кстате у меня есть подозрение что в итоге в Fedora может оказаться более качественная реализация чем в Венде :-D

user_id_68054 ★★★★★
()
Ответ на: комментарий от Thero

вообщето уже можно... ибо активаторы нынче по другому работают.

Ты о чём? Оно для того и делано чтобы защитить от хакнутых ОС. Или ты на какой пункт отвечал?

anonymous
()
Ответ на: комментарий от Thero

ребята из туксонайс уже имеют решение(или грозились что сделают) гарантирующее невозможность подмены и чтения файла гибернации путём его шифрования и подписи.

Да, зашифруют они файл хибернации, а ключ от него положат на... Дай угадаю, они ведь положат его рядом, на винчестере - да?

anonymous
()
Ответ на: комментарий от Napilnik

у меня нет своего магазина и надеюсь не будет я слишком добрый и слишком ленивый для этого. вот завод правильных материнок былобы хорошо, да но мне рановато. а в россии надо строить инфраструктуру логистики с нуля практически, это и дороги и таможня и туева куча патчей к законодательству.. потомучто это не дело когда пересечь пол мира проще чем пол страны.

Thero ★★★★★
()
Ответ на: комментарий от Thero

пользователям дальше уже некуда расслабляться

Есть куда, ещё не все созрели до мысли «антивирус не нужен».

а антивирусопейсатели наоборот теперь должны поднапрячься. писать вирусы чтобы толкать лекарство от них теперь сложнее.

Не смотрел хоббита неожиданное путешествие? Рип сделан с помеченной для критиков копии, всё равно спёрли, затёрли метки и выложили в сеть для скачивания. Также со временем может случиться и с секурботключами, попрут откуда можно, но ты верь в персональную ответственность и гарантии безопасности. Что же до «ненужности» антивирусов, то она мнимая и основывается на том, что большинство антивирусов достигли приемлемого качества сканирования даже с базами полугодовой давности но изготовленные когда-то вирусы от этого не анигилировались. Поэтому какой-то антивирь всё равно нужен.

Napilnik ★★★★★
()
Ответ на: комментарий от anonymous

неа. он в специальном месте лежит и доступен только через апи-функции ядра.. и да он сам меняется.

Thero ★★★★★
()
Ответ на: комментарий от bohm

p.s.И вообще, зачем такие гневные высеры? ;)

ды потому что — большенство комментариев об SecureBoot и Hibernate — подобны тому как я буду писать посты о том что:

«верните в Python3 байтовые строки по-умолчаию (как было в Python2) в строковые константы!»

а потом ещё добавлю — «а вообще Python не нужен! и я на нём не пишу и писать не буду!»

:-) :-)

user_id_68054 ★★★★★
()
Ответ на: комментарий от Napilnik

видел в кино, хороший фильм. вот только ключи свои критикам показывать я не буду, а декриптуют их перебором пока не скоро..

Thero ★★★★★
()
Ответ на: комментарий от Thero

неа. он в специальном месте лежит и доступен только через апи-функции ядра.. и да он сам меняется.

Ага, ну сам подумай, где находится это специальное место? И что мешает злому умышленнику вообще не разбираясь с этими деталями, скомпилять своё ядро с небольшими модификациями и через его функции АПИ доступиться к твоим воистену бесценным данным?

anonymous
()
Ответ на: комментарий от Thero

а декриптуют их перебором пока не скоро

Если 100 человек спрятали ценности, то найдётся кто-то кто сможет их спереть не прибегая к перебору. Надеяться на безопасность такой системы глупо, она может только от мелких жуликов защитит и то первое время.

Napilnik ★★★★★
()
Ответ на: комментарий от anonymous

> два дибила - это сила!

А целый форум дебилов, даже не пытающихся понять зачем привносятся те или иные усовершенствования - это ЛОР.

точно! :)

user_id_68054 ★★★★★
()
Ответ на: комментарий от Thero

видел в кино, хороший фильм. вот только ключи свои критикам показывать я не буду

Авторам забашлял а теперь скачай версию для критиков и полюбуйся на замазанные ключи, что-то типа логотипов время от времени вылезающих то там то сям. Критикам нельзя делиться своими копиями, за это засудить могут.

Napilnik ★★★★★
()
Ответ на: комментарий от another

Каких именно разработчиков мне нужно было бы пинать, чтобы можно было все это восстановить?

нажми кнопку Power на своём ноутбуке (которая, условимся, завязана на операцию Sleep), и не парь мозги.

завтра/послезавтра включешь ноутбук и дальше продолжишь работу. :)

user_id_68054 ★★★★★
()
Ответ на: комментарий от Napilnik

Если 100 человек спрятали ценности, то найдётся кто-то кто сможет их спереть не прибегая к перебору. Надеяться на безопасность такой системы глупо, она может только от мелких жуликов защитит и то первое время.

Надёжность таких систм исторически зиждется на том факте, что если ты что-то спёр у ста человек, то и ответка тебе от них придёт неслабая.

Другое дело если это кто-то что-то хочет спрятать от ста человек. Вот тут уже криптография и стеганография нужна, раз ты один такой успешный, и хочешь что-то нужное спрятать от кучи неудачников.

Товарищ, помни - устанавливая систему шифрования в своём компьютере, ты поддерживаешь капитализм! А может быть даже феодализм.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.