Ubuntu 16.04'ün ilk kurulumunda güvenli önyüklemeyi devre dışı bırakmak için neden bir şifre oluşturmam istendi?


30

Ubuntu 16.04'ün ilk kurulumunda, "Üçüncü taraf yazılımı yükle" yi işaretledim ve altında , işletim sistemi paketinin güvenli önyüklemeyi otomatik olarak devre dışı bırakmasına izin verecek başka bir seçeneği işaretlemem istendi. Bu işlemin bir şekilde gerçekleşmesine izin verecek bir şifre oluşturmak.

Kuruluma devam ettikten sonra, güvenli önyüklemenin devre dışı bırakılmasının meydana geldiğine dair hiçbir zaman bana bilgi verilmedi, ayrıca oluşturduğum şifreyi girmem istenmedi.

İşletim sisteminin başarılı bir şekilde kurulmasından sonra bilgisayarımı yeniden başlattım ve BIOS'u kontrol ettim. BIOS'ta, güvenli önyükleme hala etkindi. Ancak, Ubuntu’ya geri döndüğümde, üçüncü taraf yazılımın yüklenmesinin başarılı olduğunu belirttiğine inandığım MP3 ve Flash dosyalarını sorunsuz bir şekilde çalabiliyorum.

Henüz bir sorunla karşılaşmadım (kullanıcı arayüzünün zaman zaman biraz titiz ve hatalı olduğu gerçeğinden başka), ancak bu şifreyi oluşturarak Dünya'da ne başardığımı bilmek istiyorum.

Oluşturduğum şifreye ne oldu? Herhangi bir sebepten dolayı hatırlamam gerekecek mi? Giriş / sudo şifrem ile aynı değil.

Ubuntu, istisna oluşturmak için BIOS'umu kalıcı olarak düzenledi mi? Öyleyse, bu değişiklikleri nasıl görebilir ve potansiyel olarak geri alabilirim? Parolanın gireceği yer burası mı?

Ubuntu'nun, ubuntu-limited-extras paketini yine de yüklemek için neden güvenli önyüklemeyi devre dışı bırakması / atlaması gerekiyor? Kurulumu tamam mı? Gelecekteki problemler için kendimi hazırladım mı? İlk önce o istemi alamamak için el ile devre dışı bırakılmış güvenli önyüklemeyle yeniden yüklemeyi denemeli miyim?

Ek bilgi: Bir UEFI sistemi kullanıyorum ve Windows 10 ile birlikte Ubuntu 16.04'ü yeniden başlatıyorum.

Başka bir kullanıcı burada benzer bir sorun hakkında bir soru sordu. Bu kullanıcının aksine, "güvensiz modda önyükleme" hakkında bir uyarı almıyorum, ancak Ubuntu'nun kendisi için bir istisna yaratıp yaratmadığını ve bu istisnaları nasıl yönetebileceğimi de bilmek istiyorum. Kendimden farklı olarak, bu kullanıcı bir şifre oluşturmak zorunda olduğundan bahsetmedi.

Diyalog kutusunu kopyalamayı başardım.  İşte burada.

İşte bazı ek bilgiler.


1
Ubuntu 16.04, henüz kendimi tam olarak keşfetmediğim Secure Boot kullanımında bazı değişiklikler yaptı; Ancak, bildiklerimin bir kısmı bu soruya cevabımda. Komuta çıktınızı görmek isterim hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. İlk satırdaki son sayı (0 veya 1) Güvenli Önyükleme durumunuzu gösterir (etkin değil veya etkin).
Rod Smith

1
0000000 0006 0000 0001 0000005Kesinlikle aktif gibi görünüyor. Bir şey olup olmadığını ve hiçbir şeyin olmadığını görmek için birkaç kez devre dışı bırakıp yeniden etkinleştirdiğimi unutmayın. Yine, her şey yolunda gidiyor, tek korkum gelecekte bir şeyler ters gidebilir. Bazı belgeleri okuduktan sonra, geçici parolanın doğrudan bu özelliği doğrudan destekleyen Ubuntu yerine güvenli önyükleme için bir tür vekalet görevi görmesi gerektiği anlaşılıyor. Bir daha asla istenmediği göz önüne alındığında, benim en iyi tahminim, özelliğin eksik / bozuk olduğu.
Cosmo

1
Sadece bir destek, güvenli önyükleme için bir vekil olan geçici parolanın yanılmasında olabilir. Bulamadığım, ek bilgi olmadan bunu anlayabildiğim tek şey. Ne düşünüyorsun?
Cosmo

1
Korkarım bu konuda başka bir fikrim yok. Bu son değişiklikleri araştırmam biraz zaman alacaktır.
Rod Smith

1
Güvenli önyükleme için şifre gerekir, boş bırakılamaz ve bir tür kimlik doğrulaması gerekir. Bu nedenle ağ yöneticileri, yönetici hesabı için parola olmadan güvenli bilgisayar sistemlerini bırakacaktır, çünkü parola olmadan uzaktan giriş yapamazsınız.
Dorian

Yanıtlar:


7

UEFI Güvenli Önyükleme, önyükleme dosyalarında CA tuşlarını ve imzaları bir arada kullanarak önyükleyici yükünüzü değiştirmesini önler. Örneğin Microsoft, çoğu PC'nin zaten UEFI ürün yazılımında CA anahtarlarının bulunduğu önyükleme yükleyicilerini imzaladı.

Bu, yalnızca yükleyicinin çok erken çekirdeğini korur ve daha sonra hiçbir şey yapmaz. Örneğin, initrd (initramfs) korumalı değildir veya daha sonra herhangi bir şey (GRUB, çekirdek, Modüller, Sürücüler, kullanıcı alanındaki herhangi bir şey vb.)

MAY yazılımını kurduğunuz 3. parti yazılım, önyükleyici için gerekli olan bazı düşük seviyeli PCI veya RAID kodlarını içeriyordu, bu yüzden UEFI ürün yazılımı alanında bir anahtar oluşturacak bir şifre oluşturmanız gerekiyor. Değişikliklerden sonra, sistem önyükleme sırasında farklı bir şey fark ederse, BIOS POST'ta durur ve yazılımı yükleyen kişi olduğunuzu kanıtlamak için yükleme sırasında girdiğiniz parolayı ister. Bu yöntem, bilgisayarda fiziksel olarak oturan bir kullanıcının bu parolayı doğrulama olarak girmesini sağlar, çünkü bunu yapmak için BIOS POST zamanında hiçbir yazılım yüklenemez.

Çoğu kullanıcı sisteminde, güvenli önyükleme sizi korumak için çok az şey yapar. Virüsleri veya kötü amaçlı yazılımları veya bunların kurulmasını engellemez. Tüm bunlar, genellikle temel antivirüs veya işletim sistemi güvenliği tarafından engellenen düşük seviye önyükleyici kurcalamayı önlüyor. Kanımca, ve çoğu belgeye göre, güvenli bir şekilde devre dışı bırakılabilir.


Bu aradığım cevap olabilir gibi geliyor! Öyleyse, şifre oluşturmama rağmen, BIOS'umda değişiklik yapmadığım sürece asla istenemez mi?
Cosmo

1
Tam değil. UEFI ürün yazılımının her açılışta kontrol ettiği ve bu dosyaların imzalarını veritabanındaki saklanan anahtarlarla karşılaştıran önyükleyici yükünü değiştiren bir şey yüklerseniz sizden istenebilir.
Dorian

1
"Çoğu saldırı için güvenli önyükleme seni korumak için çok az şey yapar mı?"
Jpaugh

1
@jpaugh Sanırım saldırı kelimesini kullanabilirsiniz. Ancak, çoğu enfeksiyon / virüs / kötü amaçlı yazılım doğrudan saldırı olarak kabul edilmez, çünkü bunlar genellikle vahşi doğada herkese bulaşmak ve herkese yayılmak, özellikle de kimseye yayılmamak üzere belirlenmiştir. Ancak evet, uzaktan sisteminize erişen ve önyüklemenizi bozmaya çalışan biri bir saldırı olarak kabul edilir.
Dorian

1
@ Cosmo grub komutları, grub zaten yüklendikten sonra bellekte çalıştığından başlatılmamalıdır. Fakat belki de çalıştırdığınız komut daha önce çalıştırılmayan, UEFI alarmlarını ayarlayan bir modülü çalıştırmaya çalışıyor ... Sadece BIOS'unuzdan bir şifre soruluyor mu? BIOS'ta güvenli önyüklemeyi devre dışı bırakırsanız, istemsiz çalışır mı?
Dorian
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.