LINUX.ORG.RU

Super UEFIinSecureBoot Disk — запуск любых ОС и .efi-файлов с флешки без отключения UEFI Secure Boot

 , , , ,


9

4

Super UEFIinSecureBoot Disk — образ диска с загрузчиком GRUB2, предназначенным для удобного запуска неподписанных efi-программ и операционных систем в режиме UEFI Secure Boot.

Диск можно использовать в качестве основы для создания USB-накопителя с утилитами восстановления компьютера, для запуска различных Live-дистрибутивов Linux и среды WinPE, загрузки по сети, без отключения Secure Boot в настройках материнской платы, что может быть удобно при обслуживании чужих компьютеров или корпоративных ноутбуков, например, при установленном пароле на изменение настроек UEFI.

Образ состоит из трех компонентов: предзагрузчика shim из Fedora (подписан ключом Microsoft, предустановленным в подавляющее большинство материнских плат и ноутбуков), модифицированного предзагрузчика PreLoader от Linux Foundation (для отключения проверки подписи при загрузке .efi-файлов), и модифицированного загрузчика GRUB2, который загружает EFI-файлы самостоятельно, не используя функции UEFI.

Во время первой загрузки диска на компьютере с Secure Boot необходимо выбрать сертификат через меню MokManager (запускается автоматически), после чего загрузчик будет работать так, словно Secure Boot выключен: GRUB загружает любой неподписанный .efi-файл или Linux-ядро, загруженные EFI-программы могут запускать другие программы и драйверы с отсутствующей или недоверенной подписью.

Для демонстрации работоспособности, в образе присутствует Super Grub Disk (скрипты для поиска и загрузки установленных операционных систем, даже если их загрузчик поврежден), GRUB Live ISO Multiboot (скрипты для удобной загрузки Linux LiveCD прямо из ISO, без предварительной распаковки и обработки), One File Linux (ядро и initrd в одном файле, для восстановления системы), и несколько UEFI-утилит.

Диск совместим с UEFI без Secure Boot, а также со старыми компьютерами с BIOS.

>>> Репозиторий диска

★★★★

Проверено: jollheef ()

Загрузил сабжем Lubuntu, пишу с неё.

Наконец-то загрузка из .iso почти из коробки. «Почти» потому что пришлось создать ./glim/inc-lubuntu.cfg и отредактировать ./glim/main.cfg . А ещё persistent-режим по-прежнему нужно самому добавлять. Впрочем, это не главная фича, как я понимаю.

macrohard ★★ ()

реквест

Persistent-mode.

Для образов поддерживающих сохранение состояния создавать 2 [под]пункта в меню загрузки: простая загрузка и с сохранением.

macrohard ★★ ()

С одной стороны это хоть и нужные, но костылики, с другой - доказательство несостоятельности Secure Boot как технологии, ведь анальное огораживание пека от линукса не получилось.

ArkaDOSik ()
Ответ на: комментарий от jollheef

То, что сделал ТС — это не обход защиты Secure Boot, а упрощение работы с ним.

Можно аргументы? Я вижу из текста, что SecureBoot включен, а запускается что угодно, будто его нет.

fehhner ★★★★ ()
Ответ на: комментарий от fehhner

Можно аргументы? Я вижу из текста, что SecureBoot включен, а запускается что угодно, будто его нет.

Также ты можешь видеть из текста, что «Во время первой загрузки диска на компьютере с Secure Boot необходимо выбрать сертификат через меню MokManager».

Все уже описано в тексте новости, достаточно её внимательно прочитать.

RTFM

jollheef ★★★★★ ()

Всё бы хорошо, но вот, пришлось мне тут восстанавливать данные с лаптопа с убитой виндой, а загрузиться с флэшки нельзя пока секурбут не отключишь. И как мне этот супер-пупер-диск поможет?

anonymous ()
Ответ на: комментарий от anonymous

Я с трудом могу поверить, что с тремя с половиной пользователями GNU/Linux на десктопе вообще есть смысл бороться такими методами.

Улучшения Windows в плане UX сделали в разы больше в борьбе с альтернативными системами, чем все эти «Get the Facts».

jollheef ★★★★★ ()
Ответ на: комментарий от fehhner

Подозреваю что этот диск просто использует ключь выданный Майкрософтом для загрузки linux.
Вот отзовёт Майкрософт ключь обратно, то не только этот диск загружаться перестанет, но и любой другой линукс вообще.

torvn77 ★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от torvn77

От всего этого очень хорошо защищала прошивка БИОС в ПЗУ, но её зачем-то на EEPROM поменяли.

Причем тут вообще BIOS?

Речь о том, что после компрометации системы malware может закрепиться на самых ранних этапах загрузки ОС, тем самым все средства защиты окажутся бесполезными.

О перезаписи BIOS речь не идет.

jollheef ★★★★★ ()
Ответ на: комментарий от jollheef

Улучшения Windows в плане UX сделали в разы больше в борьбе с альтернативными системами, чем все эти «Get the Facts».

Ухудшений сделали не меньше. Получился баш на баш, а учитывая адаптационный период для перехода, осадочек остался.

А вот в Линукс улучшений делается больше, чем ухудшений.

Kroz ★★★★★ ()
Ответ на: комментарий от ArkaDOSik

Тут ты не прав. В основе всё равно подписанный загрузчик. При этом, если подпись делается каким-то своим ключом, то диск вполне может не сработать.

Radjah ★★★★★ ()

модифицированного предзагрузчика PreLoader от Linux Foundation (для отключения проверки подписи при загрузке .efi-файлов)

Но это же убивает сам смысл Secure Boot.

gasinvein ★★★ ()
Ответ на: комментарий от gasinvein

Дизассемблирование тоже убивает весь смысл компиляции. Вот только без этого не заработали бы никакие программы оффтопика на Linux/BSD под Wine. Полезнейший хак Secureboot спасет нас от UEFI рабства и даст возможность сменить UEFI, который даже в запароленом виде можно хакнуть из операционной системы, чтобы не паять каждому человеку микросхему BIOS/UEFI на программаторе, чтобы прошиться на Libreboot/Coreboot.

anonymous ()
Ответ на: комментарий от jollheef

То, что сделал ТС — это не обход защиты Secure Boot, а упрощение работы с ним.

Нет, это именно обход, из-за того, что загрузчик shim из Fedora написан с нарушением требований к SB. Емнип, требуется, чтобы от загрузчика до ядра системы все было подписано и проверяло подписи друг-друга.

praseodim ★★★ ()
Ответ на: комментарий от kirill_rrr

Никогда не сомневался, что секюриБут дырявый и ненужный.

Он не дырявый, не таким образом по крайней мере. Дырявый shim от Fedora. По идее из-за таких штук могут и отозвать сертификат для него.

praseodim ★★★ ()

Интересно даже как скоро этот проект выпилят с гитхаба? Может конечно и не выпилят, но вероятность высокая, ибо вещь очень скандальная получилась, поздравляю.

praseodim ★★★ ()
Ответ на: комментарий от jollheef

Если это обход, то зачем добавлять сертификат?

Как я понимаю, чтобы потом можно было грузить не только shim.

Впрочем, может автор ответит обход это или такая багофича.

praseodim ★★★ ()
Ответ на: комментарий от jollheef

Хотя еще задумался. Если система после загрузки дает root-доступ, в том числе к манипуляции с uefi, то может даже не обязателен shim и подобный трюк можно проделать даже из винды с правами админа? Или нельзя? Я не очень-то хорошо знаю эту кухню.

praseodim ★★★ ()
Ответ на: комментарий от anonymous8

На своём ПК я могу делать со своей системой что хочу. Согласно SB, в обход SB - пофиг, это никого не касается, кроме меня.

Делать ты можешь только то, что тебе позволили производители и не огородили, чтобы не мог. Например, ты на своем ПК, если у тебя процессор серии Intel Coffee Lake не можешь модифицировать прошивку bios. Части прошивки вообще зашифрованы и расшифровываются и работают на отдельном процессоре (Intel Me, PSP у AMD). Вот так вот дела со свободой обстоят.

praseodim ★★★ ()
Ответ на: комментарий от te111011010

ValdikSS сказал:

Диск совместим с UEFI без Secure Boot, а также со старыми компьютерами с BIOS.

Но здесь не сказано про совместимость с новыми компьютерами с опенсорсным биосом coreboot/SeaBIOS ( https://www.coreboot.org/status/board-status.html ), поэтому я и задал этот вопрос ;)

SakuraKun ★★ ()
Ответ на: комментарий от praseodim

Так я не дурак покупать такое оборудование. У меня до сих пор FX, которого для работы, игр и развлечений мне хватает с головой. А следующей покупкой будут хакнутые процессоры, где эту дрянь в виде IntelME или AMD PSP выкинули.

А добровольно покупать порабощающее оборудование не собираюсь.

anonymous8 ()

я как то в список рассылки дебиана скидывал мануал по созданию мультизагрузочной флешки стандартными утилитами, но это было очень давно и я всё забыл и снова понадобилось мне это. Кто-нибудь может замутить такой мануал (только стандартные утилиты можно? mbr и syslinux)?

anonymous ()
Ответ на: комментарий от jollheef

Простой обыватель, работая под онтопиком, за NATом провайдера имеет шанс найти и успешно запустить (да, а еще зависимости пусть не забудет разрешить, нужную версию питона поставить, ога) такого сложного зловреда примерно равный шансу, что мелкософт обанкротится.

ArkaDOSik ()
Ответ на: комментарий от jollheef

Проверки подписи исполняемого файла? Это каким образом, если добавляется сертификат относительно стандартными средствами?

Цепочка: bios -> загрузчик -> система -> драйвера. Где-то примерно так. Чтобы нельзя было загрузиться и поменять загрузчик. Но получается, что можно добавить сертификат в bios и свой модуль и потом свой загрузчик использовать. То есть или это таки дыра или shim как только загрузчик не проверяет далее, что загружает.

praseodim ★★★ ()
Ответ на: комментарий от praseodim

Secure boot защищает не от владельца устройства, а от буткитов.

То, что ты можешь руками (именно руками, так там проверки на то, чтобы значения изменялись именно интерактивно, программной возможности нет) добавить сертификат или вообще залить всю цепочку ключей — это штатная функциональность.

Это было бы bypass в том случае, если с твоей стороны никаких бы действий не потребовалось.

jollheef ★★★★★ ()
Ответ на: комментарий от ArkaDOSik

О, опять глупости про установку зависимостей для malware.

Ищи старые треды. Уже обсуждался тот факт, что никакой проблемы с кроссплатформенностью у malware для GNU/Linux нет.

jollheef ★★★★★ ()
Ответ на: комментарий от praseodim

Ну, где один дырявый загрузчик, там и дргие. И вообще, невозможно вшить в чип один единственный набор подписей и надеяться, что весь софт будет правильно подписан. Или ключи утекут, или верификацию обойдут, или такая платформа никому кроме спецслужб и военных даром не нужна будет.

kirill_rrr ★★★★★ ()