forum.opennet.ru

"Обобщение опыта реализации UEFI SecureBoot в ALT Linux"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Обобщение опыта реализации UEFI SecureBoot в ALT Linux"	+/–
Сообщение от Xasd (ok), 25-Дек-13, 22:17
в PreLoader есть интересная "недоработка".. весь пакет (в скомпилированном виде) состоит из трёх [неотъемлемых] частей: "PreLoader.efi" -- главный исполняемый файл, который осущесвтляет дальнейшую загрузку (предватительно загрузив в память свой код для проверки образов загрузчиков). "HashTool.efi" -- этот исполняемый файл запускается от инициативы "PreLoader.efi", если необходимо добавть hash-нового-образа как доверенный. "HashTool.efi" может только ДОБАВЛЯТЬ хэши и больше ни чего (удалять или редактировать -- не может). "KeyTool.efi" -- этот исполняемый файл запускается от "PreLoader.efi", если пользователь хочет например посмотреть и поудалять лишние (старые) hash-значения некоторых образов. ---------- но Майкрософт-сертификацию прошли только "PreLoader.efi" и "HashTool.efi" ("KeyTool.efi" -- не прошёл) .. ..при этом "KeyTool.efi" тоже работает, условно говоря, так как после "PreLoader.efi" работают уже все образы (с учётом процедуры добавления хэша как доверенный). но судя по исходному коду -- ситуация с переполнением EFI-базы хэшей -- ни как не обрабатывается специальным образом. (такая ситуация лишь распознаётся и функция завершает свою работу с кодом ошибки). в нормальном случае человек может добавлять новые доверенные хэши и удалять старые хэши из базы EFI. в нормальном случае -- это работает нормально. однако если человек ВСЕГДА будет только добавлять новые хэши, и ни когда не будет удалять.. то в момент переполнения возможно может произойти следущая интересная штука: 1. очередной хэш не сможет добавиться. (EFI-база переполнилась). 2. нужно будет удалить какой-нибудь старый хэш. 3. для этого придётся выбрать опцию "редактировать EFI-базу хэшей". 4. "PreLoader.efi" попытается запустить утилиту "KeyTool.efi". 5. так как до этого хэши ни разу не удалялись -- то "KeyTool.efi" будет запускаться впервые, и тоже затребует добавить свой хэш в EFI-базу. 6. а база-то уже переполнена, так что пункт 5 уже не сможет выполниться :-) ситуация конечно чисто теоретическая. так как EFI-база очень большая и на практике я этого не пробовал переполнять. только лишь исходники от PreLoader читал. # P.S.: если бы Майкрософт серцифицировал бы "KeyTool.efi" -- то этого бы не случилось бы..
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Обобщение опыта реализации UEFI SecureBoot в ALT Linux, opennews, 25-Дек-13, 21:35 [смотреть все]

Есть на русском , chinarulezzz, 25-Дек-13, 21:35 (1) //
- Пока нет -- изначально писал на буржуйском, поскольку у нас оно пригодится в худ, Michael Shigorin, 25-Дек-13, 21:49 (3) //
  - Мне даже и не хочется ничего говорить, думаю вы ещё помните о чём это я Спаси, Юнити, 25-Дек-13, 23:15 (16) //
    - Это Вам спасибо Надеюсь, не поколотите за переводы субтитров http youtube co, Michael Shigorin, 26-Дек-13, 00:03 (21)
      - Кривляться то зачем Паршивенькая ведь ситуация, взгляните на неё со стороны, не, Юнити, 26-Дек-13, 00:57 (25)
        
        И не думал Не поборник имиджа , Michael Shigorin, 26-Дек-13, 01:00 (26)
        
        Причём тут имидж Ну, чебурашка то ваша и вы с ней играете как вам хочется Мо, Юнити, 26-Дек-13, 01:17 (27)
        
        https youtu be Yn1d02TUxjw 128524 , Аноним, 15-Май-24, 17:00 (129)
  - Михаил, базовая Windows Vista умеет ставиться на UEFI , Аноним, 15-Авг-22, 18:08 (128)
  - А лишние драйверы Nvidia сами удалим при удалении всего лишнего , Аноним, 27-Май-24, 11:15 (130)
про PreLoader малова-то написано а штука хорошая тестировал -- работало но, Xasd, 25-Дек-13, 21:48 (2) //
- Он поздно появился в виде, который бы не только работал, но и был известен как п, Michael Shigorin, 25-Дек-13, 21:52 (4) //
  - в PreLoader есть интересная недоработка весь пакет в скомпилированном виде , Xasd, 25-Дек-13, 22:17 (8)
- А что конкретно там такого хорошего, кроме того, что оно работает , Аноним, 28-Дек-13, 17:05 (121) //
  - интересная идея реализации и есть некоторая универсальность например Shim , Xasd, 29-Дек-13, 01:10 (125)
Так где тут у нас любители этого UEFI анства были Дать-подать сюда этого , Аноним, 25-Дек-13, 21:53 (5) //
- я это был из наиболее запоминаемых ну а что -- меня уже отругали в прошлых те, Xasd, 25-Дек-13, 22:23 (9) //
  - Ты еще и на ARM _такое_ хотел Ух, я даже не знаю как можно относительно вежливо, Аноним, 26-Дек-13, 03:10 (36) //
    - нее я хотел только UEFI Secure Boot я не хотел - и сразу об этом говорил,, Xasd, 26-Дек-13, 04:05 (41)
      - Ну а это теперь часть оного И вообще, не понимаю чего хорошего в жирной, глючно, Аноним, 26-Дек-13, 12:47 (57)
        
        сорцы от чего от Uboot ты лучше сорцы покажи от той RTOS, которая инициализиру, Xasd, 26-Дек-13, 18:20 (76)
- Так мучиться-то не ему Там один процесс смены локализации в английскую с тем, , Michael Shigorin, 25-Дек-13, 22:52 (11)
- UEFI UEFI Secure Boot UEFI имеет много вкусностей, которые конечно было бы п, Zulu, 30-Дек-13, 01:06 (126)
А так хорошо жилось, что только одноклеточный организм не мог поставить ОС на дэ, KT315, 25-Дек-13, 22:06 (6) //
- Когда такое было , Аноним, 28-Дек-13, 17:07 (122)
Только один линукс я хоть смогу поставить , George, 25-Дек-13, 22:13 (7) //
- В смысле одна инсталяция линукса на диске, больше ничего не надо Да, разумее, Michael Shigorin, 25-Дек-13, 22:54 (12)
кому все это нужно Секьюр бут можно или отключить, или настроить на пользовател, Аноним, 25-Дек-13, 22:45 (10) //
- Ответил в 12 Для этого надо попасть в фирмварь, что может оказаться нетривиальн, Michael Shigorin, 25-Дек-13, 22:58 (14)
кстате а почему в некоторых новостях на OpenNet -- написанно Автор новости M, Xasd, 25-Дек-13, 22:58 (13) //
- Потому что я сюда пишу мало новостей, а подтверждает их Максим и мои тоже В, Michael Shigorin, 25-Дек-13, 23:00 (15)
- Есть, http www opennet ru Maxim 20Chirkov, Аноним, 25-Дек-13, 23:50 (20)
- Достаточно многие новости от анонимуса пишутся 294-м Но не все, разумеется , Аноним, 26-Дек-13, 03:15 (37) //
  - Новости от User294 размещаются под автором Аноним , Аноним, 26-Дек-13, 12:06 (54) //
    - Спасибо, Капитан Прикольно наверное рассказывать 294-му как он новости пишет , Аноним, 26-Дек-13, 12:48 (58)
      - Ну если он сам не в курсе, то почему бы и не рассказать , Аноним, 27-Дек-13, 16:56 (91)
Michael Shigorin, ты хочешь замечаний, и после чего хочешь перевести данную заме, Аноним, 25-Дек-13, 23:33 (17) //
- Нет, не нахожу Думаю, справиться без этой заметки в несколько раз сложней Дело в, Michael Shigorin, 26-Дек-13, 00:40 (23) //
  - Несомненно это ты сделал полезное дело, я просто о том что собирая это все в куч, Аноним, 26-Дек-13, 01:53 (31) //
    - Кое-что пришлось адресно выяснять почтой, сперва найдя людей да и формат HOWTO , Michael Shigorin, 26-Дек-13, 02:23 (33)
- Английский для айтишников, тоже самое что и латынь для медиков, знать необходимо, Привет пионэрам, 26-Дек-13, 10:36 (51) //
  - Хорошо полдизнул мировому цивилизованому сообществу с островов, зачетно , Аноним, 26-Дек-13, 13:20 (63) //
    - Он прав так-то , Аноним, 26-Дек-13, 16:00 (70)
    - С каких таких островов Английский - это далеко не обязательно Великобритания , Аноним, 28-Дек-13, 16:59 (119)
  - Не ради флейма А много руководств, журналов для медиков сейчас пишется на лат, ffirefox, 26-Дек-13, 21:51 (78) //
    - Надо понимать границы аналогий Если пытаться проводить параллели _во всем_ - оч, Аноним, 27-Дек-13, 16:58 (92)
    - Части человеческого тела и названия болезней имеют названия на латыни Животные,, www2, 28-Дек-13, 13:02 (115)
      - Ну, в данном случае речь идет о написании на профессиональном языке целых докуме, Аноним, 28-Дек-13, 16:56 (118)
Как мне нравится этот Secure Boot Почти всех нагнули и почти никто выпрямиться , Аноним, 25-Дек-13, 23:34 (18) //
- В общем то это так, но оно отключается хотя и не на всех материках, но самое про, Аноним, 25-Дек-13, 23:39 (19) //
  - А на каких не отключается, например , Аноним, 28-Дек-13, 17:01 (120)
- Чтобы выпрямиться нужно не только создать альтернативную систему загрузки типа , Vladjmir, 26-Дек-13, 00:15 (22) //
  - Да, тут скорее пошли обходным путём -- вокруг wintel Благодаря предшественникам , Michael Shigorin, 26-Дек-13, 00:44 (24) //
    - Не на ARM ----- 8------Disabling Secure Boot must not be possible on ARM systems, myhand, 26-Дек-13, 01:27 (28)
      - Сколько доводилось щупать армовых железок -- интересных с секирбутом пока не вст, Michael Shigorin, 26-Дек-13, 01:30 (29)
        
        А вот выше про ноуты боец упомянул Поди это как раз про ARM Ведь иначе наб, myhand, 26-Дек-13, 02:28 (34)
        
        На x86 должно отключаться, если нет -- баг прошивки и пинать вендурь А из ARM-, Michael Shigorin, 26-Дек-13, 02:36 (35)
        
        Это не просто баг прошивки - это буквально противоречит подоконной сертификаци, myhand, 26-Дек-13, 03:58 (40)
        
        Пока не видел и вроде бы не слышал Некоторое количество подземного стука насчёт , Michael Shigorin, 26-Дек-13, 04:23 (42)
        
        Смотрю и вижу Искомый ip адрес внесен в реестр на основаниях, предусмотренных с, myhand, 26-Дек-13, 05:04 (45)
        
        И тут достала кривая рука Сталин W Балмера, 1, 26-Дек-13, 11:38 (52)
        
        Попробую выяснить что тут не понравилось князькам нашей банановой республики, от, myhand, 26-Дек-13, 15:23 (67)
        
        1 если это и порно, то не детское 2 не удивлюсь, если куча правильных блогов, Michael Shigorin, 27-Дек-13, 04:05 (84)
        
        Ну, так и есть - со зверушками Пингвинчик там Таки да Support-бот ответило, myhand, 27-Дек-13, 11:56 (88)
        Думаю, альтернативу на уровне приложения понимаете сами А не блокировать -- то, Michael Shigorin, 27-Дек-13, 15:23 (90)
        Технически - она таки есть Думаю, с паяльной лампой тоже проще вести допросы А, myhand, 27-Дек-13, 17:20 (96)
        Оно-то да, но вопросы взаимосвязанные -- примерно как пользователи и драйверы Кт, Michael Shigorin, 27-Дек-13, 21:42 (104)
        Не понимаю данной аналогии , myhand, 27-Дек-13, 23:43 (107)
        Upd мой провайдер теперь не режет dreamwidth org целиком Причем URL блокирует т, myhand, 14-Янв-14, 15:43 (127)
        
        Есть мнение читал когда-то, но искать лень , что на х86 согласно сертификации с, ананим, 26-Дек-13, 04:46 (43)
        
        Это сперва пытались так организовать, после поднятой бучи чуток поправили , Michael Shigorin, 26-Дек-13, 12:13 (55)
        Не, обязан On non-ARM systems, it is required to implement the ability to disa, myhand, 26-Дек-13, 14:28 (64)
        
        Ну и отлично Прям отлегнуло DА на арм под вантуз мне как-то 8230 в общем с , ананим, 26-Дек-13, 17:33 (75)
      - К счастью, майкрософт на рынке ARM имеет популярность близкую к нулю А всяким т, Аноним, 26-Дек-13, 03:17 (38)
        
        Ну, оне стараются как умеют , myhand, 26-Дек-13, 03:51 (39)
Уверен что от текста альтлинукса там примерно столько, сколько российских тексту, Аноним, 26-Дек-13, 01:50 (30) //
- Где PS поскольку ответа не поступило -- текст мой, благодарности выписаны исчер, Michael Shigorin, 26-Дек-13, 02:11 (32)
- А зачем двиглу текстуры Это уже те кто двигло применили добавляют под свой прое, Аноним, 26-Дек-13, 12:55 (61)
- Еще посчитайте количество WAD-файлов в движке prboom, например , Аноним, 27-Дек-13, 17:05 (95)
Перепробовал кучу дистрибутивов Linux, и почему-то выбрал именно Alt Linux в кач, Аноним, 26-Дек-13, 05:00 (44) //
- gt оверквотинг удален Плюсую, Аноним, 26-Дек-13, 07:52 (47)
- Абсолютно несогласен, ИМХО Вам просто не повезло или не разобрались Я тоже переп, torabora08, 26-Дек-13, 10:01 (49) //
  - Система без программ - музейный экспонат, однако , Аноним, 26-Дек-13, 12:50 (59) //
    - Есть большая разница между помойкой типа TuCows и репозиторием Sisyphus с 14676 , Skull, 26-Дек-13, 14:43 (65)
      - А арчевский AUR в вашей классификации куда относится просто интересно , Аноним, 28-Дек-13, 17:08 (123)
  - Это _не_ минус Зачем Сделать помойку из программ а-ля виндовс Да, конечно же, Аноним, 26-Дек-13, 12:51 (60) //
    - Slackware вполне себе популярна Хотя там и прикрутили репы, но труЪ слакварщик, Аноним, 27-Дек-13, 17:01 (93)
- Концентрация неосиляторства и всякого ненужно в вашем посте зашкаливает, уж пове, Аноним, 26-Дек-13, 10:13 (50)
- Ну вот такой Вы эксперт , что ж тут поделать Это не так И это не так Особенно, Michael Shigorin, 26-Дек-13, 12:18 (56)
Поздравляю , ach, 26-Дек-13, 08:47 (48) //
- Спасибо Если пригодится -- дёргайте может, что ещё голосом доскажу, а там доп, Michael Shigorin, 27-Дек-13, 03:59 (81)
Михаил, спасибо за твой труд Надеюсь, скоро появится в альтовской вики А насче, Аноним, 26-Дек-13, 11:57 (53) //
- Так это тоже альтовская вики, только англоязычная и почти пустая А про пер, Michael Shigorin, 27-Дек-13, 04:00 (82)
Установил на настоящий компьютер SteamOS Сделал образ по инструкции со страничк, Zenitur, 26-Дек-13, 15:24 (68) //
- Ах да, SteamOS загрузил При загрузке жму Del, запускаю консоль EFI Пишу fs0 , Zenitur, 26-Дек-13, 15:28 (69)
- Ой, если прямо сейчас, то помру Может, сделать альтовский livecd с запуском st, Michael Shigorin, 27-Дек-13, 04:02 (83) //
  - кто-то удалил мои комментарии здесь все, вот такой вот замечательный сайт у вас , Аноним, 27-Дек-13, 20:29 (97) //
    - Не читал посетитель форума правила, вероятно http wiki opennet ru ForumHelp, Michael Shigorin, 27-Дек-13, 21:11 (100)
    - Если раздаете флаеры у метро - не обижайтесь, что большинство взявших выкидывает, Аноним, 28-Дек-13, 17:11 (124)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру