3. parti modüllerini kurarken neden “Güvenli Önyükleme” yi devre dışı bırakmak ilkedir?

46

16.04'ü kurarken , 3. parti modülleri / sürücüleri kurmak istersem " Güvenli Önyükleme " yi kapatmam istendi .

Ben uymadım

Ve kullandığım sadece 3. parti sürücüleri ( bcmwl-kernel-source ) manuel olarak kurduğumda tekrar "Secure Boot" (Güvenli Önyükleme) özelliğini kapatmam istendi (paketin kurulumu sırasında).

Kullanılması bcmwl-kernel-source gayet de oldu Güvenli Boot içinde 15.10 . Bu benim için bir hatayla alakalı görünmüyor.

Bu yüzden, Ubuntu artık 3. parti sürücüleri / modülleri "Güvenli Önyükleme" ile çalışmasını sağlamak için imzalamayı reddetmişe benziyor. Veya 3. parti modülleri güvensiz ve "Güvenli Önyükleme" yi kırmak olarak kabul ediyor, bu yüzden onu açıklığa kavuşturmak için onu etkisiz hale getirme? Haklı mıyım

— gündönümü
kaynak

6

IMO, insanların (yanlış) güvenli önyüklemenin öneri verirken 3. parti modüllerini kıracağını varsaydığı için. Güvenli önyüklemeyle ilgili teknik bilgiler burada - wiki.ubuntu.com/SecurityTeam/SecureBoot . Şahsen ben güvenli önyükleme devre dışı bırakmak için görünüşte her yerde görünen tavsiye ile katılmıyorum, güvenli önyükleme etkin etkinleştirilmiş donanımımda sadece iyi çalışıyor. IMO, bir sorunla karşılaşmazsanız, güvenlik özelliklerini gizli bir şekilde devre dışı bırakmak için hiçbir neden olmadıkça güvenli önyüklemeyi etkin bırakın.

— Panter,

8

Buna derinlemesine bakmadım, ama anladığım kadarıyla, 16.04 kullanılan 15.10 ve önceki sürümlerden daha katı bir Güvenli Önyükleme zorunluluğuna geçiyor. Özellikle, 15.10 ve önceki sürümlerde, Shim bir kez daha GRUB'u başlattığında, GRUB herhangi bir Linux çekirdeğini başlatacak ; Güvenli Önyükleme korumaları GRUB ile sona erer. Anladığım kadarıyla, 16.04 ile, Güvenli Önyükleme ilkesi uygulamasının çekirdeğe kadar uzanıyor, bu nedenle Ubuntu'nun GRUB'u artık imzasız çekirdekleri başlatmayacak. Bunun ötesine geçerse, daha önce olmadıklarında imzasız çekirdek modülleri de etkilenir. Yine de, bunu daha önce incelemedim.

— Rod Smith

1

İyi bir arka plan: bugs.launchpad.net/ubuntu/+source/grub2/+bug/1401532

— dpb

1

Üçüncü parti modülleri kurmaya çalışan insanların sistemlerini karıştırmasıyla, bu özelliğin iyiden daha fazla zarar vermeyeceğini merak ediyorum .

— Daniel,

Kapattıktan sonra yeniden etkinleştirmek için yine de var mı?

— shaunakde

38

Bu bir hata değil, bir özellik.

Anthony Wong'un dediği gibi, bir DKMS paketi kurduğunuzda paketi kendiniz derliyorsunuz, bu nedenle Canonical modülü sizin için imzalayamıyor.

Ancak, kesinlikle Secure Boot kullanabilirsiniz, ancak bu tam olarak Secure Boot'un sizi kendinizden korumaya çalıştığı bir durumdur çünkü bir modüle güvenip güvenmeyeceğinizi bilemez.

Varsayılan olarak , UEFI makinenizde, işlemcinize kod yüklemek için nihayetinde güvenilen Sertifika Yetkilisi olan bir Platform Anahtarı (PK) vardır.

GRUB, veya shim veya diğer önyükleme mekanizmaları , kök CA (PK) tarafından güvenilen bir KEK tarafından dijital olarak imzalanabilir ve bu nedenle bilgisayarınız, herhangi bir yapılandırma olmadan, Ubuntu Live USB / DVD'ler gibi önyükleme yazılımı yapabilir.

Ubuntu 16.04'te çekirdek CONFIG_MODULE_SIG_FORCE = 1 ile inşa edilmiştir, bu da çekirdeğin platformda güvenilir bir anahtar tarafından imzalanacak modülleri zorlayacağı anlamına gelir . UEFI platformunun varsayılan olarak üzerinde hiçbir kontrolünüz olmayan bir PK içerdiğini ve bu nedenle kendi makineniz tarafından tanınan bir anahtarla ikili dosyaları imzalayamayacağınızı dikkate alın.

Bazı insanlar buna karşı sertçe vurur ve öfkelenir, ancak (güvenlik açısından) istediğiniz yeni anahtarı kaydeden kendiniz olmaktan daha iyi bir yolu yoktur.

Eğer önyükleme sisteminiz şim kullanıyorsa, Makine Sahibinin Anahtarı veritabanı olarak adlandırılan bir şey kullanabilir ve anahtarınızı MOK olarak kaydedebilirsiniz (Bunu mokutil ile yapabilirsiniz). Bunu yapmazsanız, anahtarınızı UEFI veritabanına bir imza anahtarı olarak da kaydedebilirsiniz .

Anahtarınızı kaydettikten sonra DKMS tarafından oluşturulmuş paketinizi MOK'unuzla imzalayabilirsiniz (perl betiği olmalı /usr/src/kernels/$(uname -r)/scripts/sign-file) ve imzalandıktan sonra çekirdeğe yükleyebilirsiniz .

Birisi, bu konuda daha görsel talimatlar vermeli ve muhtemelen anahtarların dikkate alınmasına izin vermek için muhtemelen bir sihirbaz veya daha iyi bir DKMS standardı yapmalıdır, fakat şu anda sahip olduğumuz şey bu.

Kendi çekirdek modüllerinizi nasıl imzalayacağınızla ilgili bu açıklamaya başvurabilirsiniz: https://askubuntu.com/a/768310/12049

— ssice
kaynak

1

Bunu devre dışı bıraktım ve şimdi sinir bozucu bir "güvensiz modda önyükleme" iletisini alıyorum "bunu geri almak için yine de var mı? Buradaki forumlardaki sorunu bile açıklayamıyorum. @ssice - UBUNTU 14.04 kullanıyorum, bu yüzden bunun benim için bile geçerli olduğunu sanmıyorum. [

— shaunakde

20

Kısacası, bu bir hata değil, 16.04'te tanıtılan yeni bir değişiklik.

Çünkü kurduğunuz şey bir dkms paketi. DKMS modülleri kendi makinenizde derlenir ve Canonical modülü sizin için imzalayamaz. Canonical imzalayamıyorsa, dijital olarak doğrulamanın bir yolu yoktur. Güvenli önyüklemeniz açıksa, bu modülünüzün kullanılamayacağı anlamına gelir ve kullanmak için güvenli önyüklemeyi kapatmanız gerekir, bu yüzden soru soruluyor.

Neden sadece 16.04'te gerçekleştiğine, ancak önceki sürümlerde olmadığına göre, Rod Smith iyi bir cevap verdi. Ubuntu 16.04'te Ubuntu, güvenli önyüklemeyi çekirdek seviyesine zorlamaya başlar. 16.04'ten önce, Ubuntu, güvenli bir önyükleme açık olsa bile, imzalı çekirdek ve imzalı çekirdek modüllerini kullanmaya gerçekten zorlamaz. Ancak bu 16.04'te artık böyle değil.

Bu ilgili hatadır: https://bugs.launchpad.net/ubuntu/+source/grub2/+bug/1401532

İlgili plan şudur: https://blueprints.launchpad.net/ubuntu/+spec/foundations-x-installing-unsigned-secureboot

— Anthony Wong
kaynak

Wl modülünü 16.04 beta2 ile ve güncelleme sonrasında hala yükleyebilirim. Ama şimdi piyasaya çıktığımda "modprobe: ERROR: 'wl' ekleyemedi: Gerekli anahtar kullanılamıyor"

— solsTiCe

Koşmayı deneyebilir misin: sudo apt install mokutil; sudo mokutil

— Anthony Wong 2

6

Bunu yapmanın başka bir yolu da kendi anahtarınızı oluşturmak, kamuya açık kısmı MOK veritabanına eklemek ve özel parça ile derlediğiniz modülleri imzalamak. Detaylı bilgi için buraya bakın: Ubuntu 16.04'e yükselttikten sonra 'vboxdrv' yüklenemedi (ve güvenli bir şekilde önyüklemek istiyorum)

— user261814
kaynak

1

Kabul edilen cevap çok tamamlandı, ancak buradan alınan bu basit bilgi parçasını eklemek istiyorum:

https://askubuntu.com/a/843678/664391

Temelde güvenli önyükleme, kurduğunuz bazı sürücüleri yüklemenizi engelleyebilir ve bu durum oldukça sinir bozucu olabilir. Bunu kendim geçirdim: sürücü doğru kurulmuş, her şey yolunda gibiydi, ama işe yaramadı. İşletim sisteminin yüklenmesini engelleyen önyüklemenin güvenli olduğunu bulmam biraz zaman aldı .

— Dhiego Magalhães
kaynak