https://www.opennet.me/openforum/vsluhforumID3/88245.html Один из инженеров из компании Red Hat представил (https://lkml.org/lkml/2013/1/15/615) в списке рассылки разработчиков ядра Linux патчи с реализацией системы верификации исполняемых файлов в формате ELF с использованием цифровых подписей. Разработка дополняет систему верификации модулей ядра, созданную в рамках проекта по обеспечению поддержки механизма UEFI Secure Boot.<br><br><br>В текущей реализации режима верификации модулей ядра пришлось заблокировать механизм kexec наряду с другими возможностями, которые могут быть использованы для обхода цепочки проверки загружаемых модулей (через kexec могло быть запущено ядро в режиме без проверки цифровых подписей модулей). Одним из предложенных решений указанной проблемы стала поддержка проверки по цифровой подписи исполняемого файла /sbin/kexec (http://linux.die.net/man/8/kexec), применяемого для загрузки нового ядра с использованием системного вызова sys_kexec(). Другим мотивом обеспечения верификации исполняемых файлов являлось желание выполнения команды kdump для яд https://www.opennet.me/openforum/vsluhforumID3/88245.html#94 Tue, 22 Jan 2013 18:17:32 GMT Мне на ноуте (точнее, когда куплю новый взамен стареющему)<br><br>Украдут - без рефлэша ПЗУшки фигушки он заработает. Secure boot грузит строго подписанное ведро, ведро грузит строго разрешенную систему, строго разрешенная система работает только при наличии авторизации. Выдернуть винт и поменять ядро или систему нельзя, все верифицируется.<br><br>Таким образом, время установить ШИНДОШS и продать ноут не придет. Глядишь, все шансы за то, что утащенный ноут выкинут не сильно повредив, а потом его кто-нибудь найдет и вернет хозяину (благо мои контактные данные прописаны прямо на экране входа).<br><br>И то дело.<br><br>Правда придется сильно поискать еще ноут, чтобы secure boot там был адекватен, и позволял пользовательские ключи в TPM грузить, а потом не позволял их сбрасывать без ковыряний в железе. Увы.<br> https://www.opennet.me/openforum/vsluhforumID3/88245.html#93 Sat, 19 Jan 2013 22:29:04 GMT &gt; Но темы Цифровые подписи и Подписано ключом Майкрософт заводят с пол-оборота.<br><br>это да. пугает ещё количество людей, которые считают &#171;ничего страшного&#187;, &#171;какие молодцы, как здорово обманули m$&#187;&#8230;<br> https://www.opennet.me/openforum/vsluhforumID3/88245.html#92 Sat, 19 Jan 2013 21:55:45 GMT &gt; а зачем &#171;тач&#187;? эхо и так создаст.<br><br>Признаю, дал маху.<br>Но темы Цифровые подписи и Подписано ключом Майкрософт заводят с пол-оборота.<br>При нарастающих тенденциях.<br>Потому, что в #80 не в бровь, а в глаз.<br> https://www.opennet.me/openforum/vsluhforumID3/88245.html#91 Sat, 19 Jan 2013 21:10:59 GMT &gt;&gt; security boot<br>&gt; секуребут работает с уефи. Только с уефи.<br>&gt; Там нет биоса. Прикинь? Вообще нет.<br><br>Secure boot начинается с BIOS, который Enable/Disable и при Disable разлочивает выбор UEFi/Legacy, если муд@к производитель не залочил функцию, например как Remap Memory Enable в Toshiba Satellite c855-21v при отсутствии её в BIOS опционально, из-за чего в x32 системах пользователь при 4Gb RAM потеряет ~1.35Gb вместо пятисот. <br>Более того, пользователь сходу снёсший стоявшую на ноуте w8 x64 не смог поставить w7 x32 из-за того, что встроенный менеджер разделов установщика упорно создавал gpt в 100mb при наличии которого legacy loader не мог передать управление загрузчику w7 и после POST тачка входила в мёртвый цикл boot/reset. Лечится принудительным созданием разделов из под Линукс в fdisk/cfdisk. Т.о. наблюдается начало привязывания пользователя к vendor-lock системам.<br><br>Поэтому, от такого вот г0вн@<br>http://www.opennet.ru/openforum/vsluhforumID3/87346.html<br>http://www.opennet.ru/openforum/vsluhforumID3/8756 https://www.opennet.me/openforum/vsluhforumID3/88245.html#90 Sat, 19 Jan 2013 20:17:14 GMT http://article.gmane.org/gmane.linux.kernel/957194<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID3/88245.html#89 Sat, 19 Jan 2013 19:31:44 GMT а зачем &#171;тач&#187;? эхо и так создаст.<br> https://www.opennet.me/openforum/vsluhforumID3/88245.html#88 Sat, 19 Jan 2013 18:43:01 GMT &gt; У скрипта без цифровой подписи<br>&gt; не может быть атрибута "исполняемый"<br><br>$ touch ./privet<br>$ echo "echo "PRIVET"" &gt; privet<br>$ bash ./privet<br>PRIVET<br>$ cat ./privet <br>echo PRIVET<br> https://www.opennet.me/openforum/vsluhforumID3/88245.html#87 Fri, 18 Jan 2013 20:37:54 GMT &gt; @"знатокам bios" - bios не поддерживате разделы HDD более 2Тб.<br><br>биос вообще с разделами не работает. если что - он нулевой сектор берет, по адресу x7c00 кидает и передает на него управление<br><br>&gt; И не видит HDD более 3Тб.<br><br>почитайте про LBA. вам будет полезно<br> https://www.opennet.me/openforum/vsluhforumID3/88245.html#86 Fri, 18 Jan 2013 17:20:27 GMT Таки поддерживаю. Закрытая фигня не нужна на десктопе! Coreboot лучше будет)<br>