systemd 253

Знающие, подскажите.

В курсе, что UKI призван объединить образ ядра, initrd и образ в UEFI. Прочитал цели сия процесса.

Если отбросить возгласы «Вперед, за прогресс!!!» и «Нинужно!11!», те, кто больше разбираются —нужно ли это в принципе и какие плюсы? Ибо вроде и с текущей архитектурой загрузки неплохо живется.

Лучшее, что случилось с Линукс.

Чтобы можно было загрузить строго определенное ядро. И невозможно загрузить любое иное.

Это что, конец самосборным ядрам?

В первую очередь этот механизм нужен для упрощения подписывания всего этого загрузочным сертификатом и является одним из этапов реализации инициативы «trusted boot world» нежно всеми нами любимого Леннарда Поетринга.

В конечном итоге те копропротивные линуксы которые будут высочайше одобрены производителями будет устанавливаться и запускаться на платформах с неотключаемым secure boot. Ну и заодно пользователи наконец то потеряют возможность совать свои шаловливые ручки в то что не ими подписано. И мерзкая свобода в этом вашем Линуксе наконец то закончится.

После замены UEFI на свободную прошивку, в теории можно будет загрузить самосборное ядро. Ну если у вас есть замена. Или если у вас есть ключ подходящий, чтобы подписать ядро, для UEFI, что тоже возможно. Утечки ключей случаются.

Получается, технически, создатели корпоративных дистров смогут брать ядро, собирать с какими-угодно блобами, телеметрией etc, подписывать это ключом, и пользователи уже не смогут ковыряться в ядре/присоединять самосборное/самоподписанное?

Как видно по предыдущим комментариям, этот момент никак не дойдет до простых лоровских истеричек (казалось бы, после десяти лет повсеместного UEFI).

Речь в том числе про строго определённое самосборное ядро. Твоё собственное, подписанное твоми собственным ключом.

Да, так. Для того чтобы вот всё это сделать нужно иметь ключ. Более того, можно вообще всю среду выстроить таким способом что ты в юзерспейсе пукнуть не сможешь без сертификата. Неподписанный софт тупо не будет запускаться. Собственно это и называется «trusted execution environment» и это «святой грааль» корпорастов.

Речь в том числе про строго определённое самосборное ядро. Твоё собственное, подписанное твоми собственным ключом.

Твой собственный сертификат будет работать ровно до того момента пока разработчик платформы соизволит разрешить тебе внедрять свой собственный сертификат в UEFI. И как только он решит этого не делать — никаким «твоим собственным ключом» ты ничего не подпишешь. Короче говоря твоя свобода превращается в свободу собачки на поводке, можно какать где угодно, но только там где гуляет хозяин. И насколько хватает длины поводка.

Пока Микрософт обещает наличие в прошивках «community free» ключи, которыми можно будет самостоятельно подписывать ядра тем разработчикам которые не имеют соглашений с Микрософт и производителями оборудования. Но это именно что «добрая воля», которая может и закончится. Хозяин добрый, поводок длинный.

Сколько строго определённых ядер (в том числе, возможно, самосборных) будет допустимо? // сейчас пользователь ограничен только своей фантазией и пространством раздела загрузчиков.

сейчас пользователь ограничен только своей фантазией и пространством раздела загрузчиков.

Всё точно так же.

будет

Давно уже.

Дай угадаю

Они решили вопрос с вирусами (окончательно)?

То есть вместо криво собранного ядра появится подписанное кривособранное ядро.

Но на то они и белки-истерички.

Не понял что

Давно уже.

В их влажных фантазиях да. А в реальности пока ничего не изменится, как и говорит Говорящий Поляк. Просто на системах с неотключаемым секюрбут добавляется ещё шаг с подписыванием ядра, модулей, initrd или с тем самым UKI, если ты сам что то конпеляешь. Пока (sic) ещё можно самому подписать самосбор и грузиться через secure boot, но это пока...

Тут другой прикол, например у тебя есть копропротивный дистр весь подписанный копропротивным сертификатом. И для того чтобы в нём какую нибудь отсебятину сотворить тебе придется всю эту тряхомудию (UKI, аka ядро+модули+initrd, и systemd) ПЕРЕСОБРАТЬ и ПЕРЕПОДПИСАТЬ, причём своим ключом, поскольку того ключа которым изначально всё это было подписано у тебя нет, он у разработчиков дистрибутива. И в итоге ты вроде как можешь что то там менять, но то что получилось уже не копропротивный дистр, и тебя вполне могут послать с его поддержкой и сопровождением.

правильным путём идём. Слава Поттерингу! Слава Линусу за мудрое руководство!

Зачем ограничивать сферического пользователя на этой планете я слабо понимаю. Что касается бизнес-«партнеров» (не нашёл более подходящего слова), то тут ещё больше не понимаю. Они же используют ПО «корпораций», модификация не их профиль.

systemd

Годнота! Можете закидать меня, но systemd - рулит.

Толсто, попробуйте тоньше.

Ну вообще идея конечно не в том чтобы всем всё запретить, а в том чтобы создать проверяемую цепь доверия, от прошивки до юзерского софта. А уж как этой цепью и доверием распоряжаться - тут уже открывается «полёт фантазии». Например, у тебя есть подписанное ядро, подписанный initrd, подписанные модули и подписанный же init, который остальную систему грузит. В этой цепочке ты не сможешь вставить в систему свой модуль, или как либо изменить любой компонент этой системы, не подписав его тем же самым ключом что и всё остальное.

Этот ключ у тебя может быть, а может и не быть, например это ключ разработчиков дистрибутива, и он ещё не «утёк». Но и тут никто не запрещает тебе переподписать всю эту тряхомудию каким либо «свободным» ключом, из тех которые «пожертвованы» разработчикам не копроративных Линуксов, например Генту или Слаквари. Но в этом случае какой нибудь поставщик софта ориентированный на корпоративные линуксы может проверить ключи и отказаться устанавливать свой софт на системах не подписанных «правильным» ключом. Или отказать в его поддержке и сопровождении.

И сам разработчик дистрибутива может отказать тебе в поддержке и сопровождении, например в обновлениях, если обнаружит что ядро и прочая тряхомудия не подписана его ключом.

Наделал засланный майкрософтом для превращения Linux в хлам вроде винды леня делов,уже к хозяину на службу вернулся а его последователи продолжают его дело. Ничего из их стараний не выйдет.Уже и KDE Plasma отлично без системды в Devuan работает,есть нормальные и непродажные программисты.

Аргументы? Все хейтеры systemd обычно моментально сдуваются, когда просишь аргументацию.

Путаешь с Гномом, это его сначала приколотили, а потом отламывали. КДЕ с плазмой никогда не была прибита гвоздями к системд. Говорю это тебе как пользователь Кед со второй их версии на разных дистрибутивах без каких либо системд.

В таком свете более понятно: ещё больше контроля «на всякий случай». Идеи не новые. :(

Наделал засланный майкрософтом для превращения Linux в хлам вроде винды леня делов,уже к хозяину на службу вернулся а его последователи продолжают его дело.

Это же бред шизофренический… Нужно лечиться.

Да, суть в «больше контроля». И в том что есть те кто не понимают разницы между «невозможно проконтролировать, технически, никак» и «контроль тотальный, но обещали свобод не отбирать и в правах не ограничивать, мамой клялись и Конституцией».

Посему ясно, что архивные системы на базе отключаемого Secure boot или самого UEFI ещё поживут на этом свете (FX-8350 forever). Но в целом, грустно это всё!

Да, тем более «квантового скачка» в технологиях типа того который оставил машинки с 512мб\1gb памяти «за бортом» в ближайшем будущем не предвидится, и характеристик «архивного» железа ещё долго будет хватать. Ну и думаю разработка «свободных» реверсинженерных прошивок без анальных ограничений на загрузку только подписанных систем тоже ускорится в связи с ростом спроса и интереса.

О чём вы вообще? Разработчики дистрибутивов вам ничего не подпишут, для этого генерируется локальный ключ для подписи. В любых ведущих дистрибутивах это делается автоматически, когда компилируются какие-либо сторонние модули через DKMS. Ключ импортируется в хранилище MOK и требует физического присутствия при импорте, именно для того, чтобы удалённый злоумышленник не смог его подтвердить.

Систем x86 с неотключаемым Secure Boot нет и не планируется. Леннарт делает всё правильно, а именно решает проблемы, у которых есть лёгкое решение, но за которые никто 10 лет не брался.

Систем x86 с неотключаемым Secure Boot нет и не планируется.

Есть ноутбуки с неотключаемым Secure Boot. Модели сейчас не вспомню, но встречал парочку.

О чём вы вообще? Разработчики дистрибутивов вам ничего не подпишут, для этого генерируется локальный ключ для подписи. В любых ведущих дистрибутивах это делается автоматически, когда компилируются какие-либо сторонние модули через DKMS. Ключ импортируется в хранилище MOK и требует физического присутствия при импорте, именно для того, чтобы удалённый злоумышленник не смог его подтвердить.

Это сейчас так. Не факт что так будет и дальше по мере дальнейшего распространения «среды доверенного исполнения». Техническая возможность анально огородить платформу под список из четырёх «доверенных ОС» или вообще только под одну ОС — есть. А значит ей обязательно будут пользоваться. И это уже не случай «драйверов нет и таблицы ACPI нестандартные и только под Виндоуз», это значительно более глубокий лок на вендора.

Лечись если нужно,кто не дает?А по теме куда леня недавно перешел работать?Не в майкрософт ли к хозяевам?

«Матрицу» переиздать надо с большим натурализмом. Мысль «Это только возможность контроля, ничего больше» внедряется в целом успешно. Тот самый успех Android с его «Давай разрешения или работать не буду».

Насколько я понимаю, пока что сейчас не все плохо. Даже большинство смартфонов(которые огораживаются просто тотально) позволяет сделать разблокировку загрузчика и установить модифицированную прошивку. С x86 пока что так же(в принципе все нормально, но есть отдельные модели с зондами)

А по теме куда леня недавно перешел работать?Не в майкрософт ли к хозяевам?

И ты только из этого факта сделал вывод, что он агент ZOG? А как же github на котором большинство опенсорцных проектов сейчас размещаются? Ведь от тоже майкрософтовский, о май гад!

С компами пока значительно лучше чем со смартфонами. Со смартфонами ты сам пишешь «большинство смартфонов», но есть и меньшинство, с которыми ты мало чего сделаешь без очень серьёзного колдунства. В конечном итоге «влажная мечта» производителей огородить компы примерно так же как и смартфоны.

На самом деле, принципиальная возможность подписать софт и приколотить ключ гвоздями хороша для корпоративного сектора. Понятно, что можно использовать ее и во зло, но никто пока не вспомнил самого злого ее применения: DRM. Очень много кто хочет, чтобы DRM был встроен в ядро и не позволял пользоваться пиратским контентом. А если это говно будет в ядре, которое невозможно поменять - мечта всяких сони и прочих наконец-то исполнится.

С другой стороны, надежда на рыночек, что он порешает устройства с неотключаемой подписью.

Trusted Boot сделан прежде всего для безопасности своих собственных систем, чтобы вам не подменили ядро или загрузчик незаметно, чтобы непосредственно вы, как пользователь, были уверены, что система находится в неизменённом состоянии и могли это состояние измерить в цифрах, а также привязать ваши же секреты к этому состоянию. Secure Boot и Trusted Boot — разные технологии, не связанные между собой. Я видел машины с Trusted Boot (со static root of trust из TPM) 2008 года выпуска, когда даже UEFI на компьютерах не было. TrustedGRUB появился в 2006.
Реализация Trusted Boot на x86 пассивна, она ничего не блокирует.

Secure Boot: я не видел ни одного компьютера на x86 без возможности его отключения. Поверю, что есть подобные встраиваемые системы с кастомизированными настройками UEFI, чтобы пользователь не имел возможности модификации системы, но не в обычных десктопах и серверах. У Microsoft прописано требование возможности смены PK, правда, только для серверов (для десктопов — на усмотрение OEM).
Задача Secure Boot — ограничить не присутствующего физически перед компьютером потенциального злоумышленника от внесения изменений в процесс загрузки.

Linux’овый shim из Fedora позволяет загружать любые файлы, будучи подписанным ключом от Microsoft, с физическим подтверждением загрузки. В частности, в Ventoy используется мой способ обхода Secure Boot для загрузки любых ОС и .efi-файлов, и этот способ не нарушает принципы Secure Boot.

А мы хотим всё одним баш скриптом поднимать, сервисы не нужны

А где можно нарыть списочек гнойного железа, в котором этот секурбут не отключается?

Техническая возможность анально огородить платформу под список из четырёх «доверенных ОС» или вообще только под одну ОС — есть. А значит ей обязательно будут пользоваться

Ай маладца! Я тут постоянно усираюсь что на определённом уровне доказательством преступления является возможность совершения такового. Не хотят верить, слишком ужасно типа, ещё про член некоторые шуткуют

ГрафенОС?

А по теме куда леня недавно перешел работать?Не в майкрософт ли к хозяевам?

И ты только из этого факта сделал вывод, что он агент ZOG?

Тебе мало? С той стороны вот не стесняются неблагонадёжными клеймить

Нет, просто нам повезло что системд работает, потому что тот же сраный пульсаудио портил кровь линуксу хрен хнает сколько лет, пока его на хрен не выкинули, заметив на пайпу.

Если говорить проще, то убогость UEFI не позволяет подписать несколько файлов, и возможно ещё все модули, которые могли бы подгружаться динамически, и проверить всё это дело в третьем тысячелетии нашей эры. И люди с потными ручками решают это дело посредством насилия над Линуксом, т.е. строго в рамках своей компетенции.

Аргументы? Все хейтеры systemd обычно моментально сдуваются, когда просишь аргументацию.

Этот journalctl ужасно неудобен, и довольно трудно запомнить, что в нём там к чему, если не пользуешься им постоянно. А я не пользуюсь им постоянно. Очень редко, когда что-нибудь работает не так.

Удивляюсь, насколько сложной удалась такая простая операция – просмотр логов какой-то службы.

Задача Secure Boot — ограничить не присутствующего физически перед компьютером потенциального злоумышленника от внесения изменений в процесс загрузки.

Скорее в подмену файла на носителе, пока машина выключена. Правда для этого достаточно вбить хэш образа в UEFI, и чтобы он только такие образы грузил. Подпись не нужна.

А раз нужна подпись, то всё намного сложнее. Потому что владелец сертификата вступает в силу. Корневого и прочих.

О чём вы вообще? Разработчики дистрибутивов вам ничего не подпишут, для этого генерируется локальный ключ для подписи

Пс, не рушь их всепропащий, паникерский, параноидальный, вокругзаговорщеский манямирок.

Думай о худшем - не ошибёшься.

P.S. Разве что в случае, когда всё будет настолько плохо, что даже подумать нельзя было.

Ненужно.