The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критическая уязвимость в загрузчике GRUB2, позволяющая обойти UEFI Secure Boot

29.07.2020 23:07

В загрузчике GRUB2 выявлено 8 уязвимостей. Наиболее опасная проблема (CVE-2020-10713), которой присвоено кодовое имя BootHole, даёт возможность обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Особенностью данной уязвимости является то, что для её устранения не достаточно обновить GRUB2, так как атакующий может использовать загрузочный носитель со старой уязвимой версией, заверенной цифровой подписью. Атакующий может скомпрометировать процесс верификации не только Linux, но и других операционных систем, включая Windows.

Проблема решается только обновлением в системе списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux. Некоторые производители оборудования уже включили в свои прошивки обновлённый список отозванных сертификатов, на таких системах в режиме UEFI Secure Boot можно будет загрузить только обновлённые сборки дистрибутивов Linux.

Для устранения уязвимости в дистрибутивах также потребуется обновить инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку, сгенерировав для них новые цифровые подписи. Пользователи должны будут обновить установочные образы и иные загрузочные носители, а также загрузить список отозванных сертификатов (dbx) в прошивку UEFI. До обновления dbx в UEFI система остаётся уязвимой независимо от установки обновлений в ОС.

Уязвимость вызвана переполнением буфера, который может быть эксплуатирован для выполнения произвольного кода в процессе загрузки. Уязвимость проявляется при разборе содержимого файла конфигурации grub.cfg, который обычно размещается в разделе ESP (EFI System Partition) и может быть отредактирован атакующим, имеющим права администратора, без нарушения целостности подписанных исполняемых файлов shim и GRUB2. Из-за ошибки в коде парсера конфигурации, обработчик фатальных ошибок разбора YY_FATAL_ERROR лишь выводил предупреждение, но не завершал работу программы. Опасность уязвимости снижается необходимостью наличия привилегированного доступа к системе, тем не менее, проблема может оказаться востребованной для внедрения скрытых rootkit-ов при наличии физического доступа к оборудованию (при возможности загрузки со своего носителя).

В большинстве Linux-дистрибутивов для верифицированной загрузки используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимость позволяет через изменение содержимого grub.cfg добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив полный контроль за дальнейшим процессом загрузки, в том числе для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Другие уязвимости в GRUB2:

  • CVE-2020-14308 - переполнение буфера из-за отсутствия проверки размера выделяемой области памяти в grub_malloc;
  • CVE-2020-14309 - целочисленное переполнение в grub_squash_read_symlink, которое может привести к записи данных за пределами выделенного буфера;
  • CVE-2020-14310 - целочисленное переполнение в read_section_from_string, которое может привести к записи данных за пределами выделенного буфера;
  • CVE-2020-14311 - целочисленное переполнение в grub_ext2_read_link, которое может привести к записи данных за пределами выделенного буфера;
  • CVE-2020-15705 - позволяет загружать неподписанные ядра при прямой загрузке в режиме Secure Boot без прослойки shim;
  • CVE-2020-15706 - обращение к уже освобождённой области памяти (use-after-free) при переопределении функции во время выполнения;
  • CVE-2020-15707 - целочисленное переполнение в обработчике размера initrd.

Обновления пакетов с исправлениями выпущены для Debian, Ubuntu, RHEL и SUSE. Для GRUB2 предложен набор патчей.

Дополнение: Некоторые пользователи отмечают невозможность загрузки систем после установки обновления в разных дистрибутивах (включая RHEL/CentOS), в том числе в конфигурациях без UEFI Secure Boot.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в UEFI для процессоров AMD, позволяющая выполнить код на уровне SMM
  3. OpenNews: Методы отключения защиты Lockdown в Ubuntu для удалённого обхода UEFI Secure Boot
  4. OpenNews: Linux Foundation представил проект LinuxBoot для замены UEFI-прошивок
  5. OpenNews: Уязвимость в GRUB2, позволяющая обойти блокировку загрузки паролем
  6. OpenNews: Релиз менеджера загрузки GNU GRUB 2.04
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53454-grub
Ключевые слова: grub, uefi
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (305) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.47, Аноним (47), 07:44, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    1.
    > Уязвимость проявляется при разборе содержимого файла конфигурации grub.cfg, который обычно размещается в разделе ESP (EFI System Partition) и может быть отредактирован атакующим, имеющим права администратора, без нарушения целостности подписанных исполняемых файлов shim и GRUB2.

    https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatur

    У меня ВСЕ модули и ВСЕ настройки grub, включая grub.cfg и прочие которые он подгружает подписаны, так же как и ВСЕ ядра и инитрд. Не подписанный файл или с плохой цифровой подписью grub незагрузит и может прервать загрузку системы: set check_signatures=enforce .

    Если grub.cfg изменить, то уязвимость не проявится, grub проверит цифровую подпись, увидеть что файл плохой и не будет его подгружать. Цепочку доверия и верификации между secure boot и IMA/EVM GRUB не нарушит.

    Значит "уважаемая" RedHat опять что-то мутит...

    PS:
    У grub2 всеже есть баг или фичя:
    1. Обнаружив плохую подпись или ее отсутствие grub не остановит загрузку, просто не будет загружать данный файл, и если возможно продолжит загрузку. Например в grub.cfg можно с помощью configfile включать другие конфигурационные файлы (https://www.gnu.org/software/grub/manual/grub/grub.html#Embedded-configuration) и если изменить их то grub.cfg отработает нормально но без загрузки измененного файла.
    2. Если загрузка таки невозможна grub2 вываливается в рутовую "рескуэ" консоль где можно вводить ЛЮБЫЕ команды, включая: set check_signatures=no и дальше грузить все что захочешь!!! Я лично не раз этим пользовался чтобы прервать доверительную сертифицированный цепочку между secure boot и IMA/EVM. Баг это или фичя такая? В любом случае надо или отдельно от стандартного пароля grub (в core.img) защищать вываливание в консоль граба паролем или иметь опцию на подобие set rescue_console=off и устанавливать ее в переменные окружения как и check_signatures в grub core.img который верифицируется secure boot.

    2.
    > В большинстве Linux-дистрибутивов для верифицированной загрузки используется небольшая прослойка shim, заверенная цифровой подписью Microsoft.

    С secure boot ВСЕ чужие публичные ключи должны удалятся. Это незыблемое требование Integrity. Вы сами, лично, должны создать свой ключ для secure boot и подписывать им grub core.img в котором находятся установленные переменные и публичный ключ для проверки подписей модулей grub, его настроек, а также ядер и инитрд. Наличие любого чужого публичного ключа, даже, такой уважаемой фирмы как M$, в secure boot неприемлимо!

     
     
  • 2.49, Аноним (49), 08:09, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Значит "уважаемая" RedHat опять что-то мутит...

    100% хотят дрянь типа systemd в grub засунуть под предлогом исправления из пальца высосанной, практично не реализуемой проблемы.

     
     
  • 3.81, Аноним (81), 09:36, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Проблема решается только обновлением в системе списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux. Некоторые производители оборудования уже включили в свои прошивки обновлённый список отозванных сертификатов, на таких системах в режиме UEFI Secure Boot можно будет загрузить только обновлённые сборки дистрибутивов Linux.

    А может дрянь не в сам grub совать будут, а в "обновлённые сборки дистрибутивов Linux" уже засунули... А чтобы со старых, чистых образов не грузились и не ставили чистую систему отозвали в UEFI старые ключи!

    RedHat с systemd любимого Потеринга начало жесткое наступление.

     
  • 3.91, Аноним (91), 10:22, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уже есть systemd boot.
     
     
  • 4.96, Анноним (?), 10:34, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    До GNU/Systemd осталось немного )
     
  • 3.98, anonymous (??), 10:39, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Обсуждаю с коллегами варианты защиты, и ребята говорят, что надо внедрять systemd bootloader :)
     
     
  • 4.136, anonom (?), 14:56, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    лавров.jpg
     
     
  • 5.174, anonymous (??), 19:02, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А если откинуть эмоции, то технические аргументы какие forward-нуть?
     
     
  • 6.219, Аноним (219), 11:17, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Форкнуть хотели сказать?

    Описанная уязвимость boothole практично нереализуема! У меня ее нет!

    Рассмотривалм варианты:
    1. с шифрованым /boot
    2. с шифрованым /boot на загрузочной флешке
    3. с шифрованым заглавием LUCS на загрузочной флешке.

    Заметь, мало того, что grub проверит все подписи, так еще шифрование /boot не даст ничего в нем поменять.

     
     
  • 7.238, anonymous (??), 14:39, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > шифрование /boot

    А ключ для шифрования откуда берётся? Вручную вводится? Или из TPM?

    А проблема реализуется очень просто на машинах, где запрещено шифрование данных из-за проблем с performance: просто грузишься по сети с побитым grub.cfg (который обычно не измеряется, ибо слишком динамичный) и получаешь полный контроль над системой с правильными значениями в TPM :)

     
     
  • 8.239, anonymous (??), 14:39, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да даже если разрешено шифрование с ключом в TPM -- та же проблема ... текст свёрнут, показать
     
     
  • 9.241, Аноним (241), 14:56, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Значит так ребята Давайте версии используемого вами grub пишите и дистрибутива ... текст свёрнут, показать
     
  • 8.240, Аноним (241), 14:53, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не должно быть проблем ни с ручным вводом пароля ни с ключом Измененный grub cf... текст свёрнут, показать
     
     
  • 9.253, anonymous (??), 19:59, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Когда у тебя миллион серверов, это уже становится проблемным А про ключик из TP... текст свёрнут, показать
     
     
  • 10.255, Аноним (255), 07:16, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    С каким конкретно TPM и какая конкретно версия GRYB не работает Если лям сервак... текст свёрнут, показать
     
     
  • 11.258, Аноним (258), 08:09, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Или coreboot затрояненый проприетарные блобами обучить шифровать boot Портиров... текст свёрнут, показать
     
     
  • 12.264, anonymous (??), 10:12, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не могу распарсить написанное ... текст свёрнут, показать
     
     
  • 13.288, Аноним (288), 14:16, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Coreboot обучить шифровать boot портировав в него поддержку LUKS с GRUB2 или Li... текст свёрнут, показать
     
  • 11.263, anonymous (??), 10:09, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почему не работает Работает Просто тут выбор 1 Либо запретить менять конфиг ... текст свёрнут, показать
     
     
  • 12.289, Аноним (288), 14:29, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял вашей политики организации изменения конфигурации grub Для изменения к... текст свёрнут, показать
     
  • 8.308, Аноним (308), 14:54, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет такого в природе, подпись grub cfg проверяется и побитого GRUB не загрузит... текст свёрнут, показать
     
  • 5.231, Аноним (231), 13:24, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Он курящий.
     
  • 2.50, Аноним (49), 08:15, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    s/сертифицированный цепочку/вериытцированну цепочку/

    Вражеский спелчекер херит смысл.

     
     
  • 3.123, Аноним (231), 13:05, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Смысла нет, есть цель.
     
  • 2.102, Аноним (102), 11:36, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У меня ВСЕ модули и ВСЕ настройки grub, включая grub.cfg и прочие которые он подгружает подписаны

    А можно поподробнее, каким образом он подписывается?
    И как после этого обновлять ядро? Конфиг же перегенерируется, значит, его надо снова подписать, а для этого в системе должен быть приватный ключ. Но тогда вся секурность идёт лесом.

     
     
  • 3.207, Аноним (207), 08:47, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatur

    Скрипт для подписи другой, подписываю все файлы в каталоге /boot, можете начать из того что в документации.

    Подписывать надо только если меняете ядро, инитрд, grub или его конфиги.

    Обновление и настройка организованы так чтобы в рабочей системе приватных ключей не было.

    Если ключ граб изменился то измененный надо добавить в core.img, grub-install это делает. И потом подписать ключом UEFI.

     
  • 3.230, Аноним (230), 12:59, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.linux.org.ru/forum/admin/15742224?cid=15744272
     
  • 2.157, олооло (?), 16:20, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какой дистр? Что мешает на компе прописать зловредные ключи при наличии физ доступа?
     
     
  • 3.216, Аноним (219), 10:46, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой дистр?

    Сам себе дистростроитель. Свой дистр свои правила.

    Сегодня нет популярных дистров с полностью включенной Integrity.

    Спросите Мишу пусть нам расскажет почему в ALT Linux политика IMA проверяет только модули ядра и прочие критические элементы, а не всю систему: /bin /sbin /lib /etc /usr ?

    > Что мешает на компе прописать зловредные ключи при наличии физ доступа?

    В каком месте собираешься подставить зловредный ключ:
    https://www.opennet.dev/openforum/vsluhforumID3/121426.html#62
    Этот зловредный ключ должен иметь подпись ключа с предыдущего этапа загрузки.

    Есть такое понятие "верифицированная цепочка загрузки".

     
  • 2.218, Аноним (219), 11:08, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Документированная фичя https www gnu org software grub manual grub grub html ... большой текст свёрнут, показать
     
     
  • 3.257, Аноним (258), 08:03, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Наверно все же лучшим решением будет перенос пароля с grub.cfg в grub core.img. И всегда при переходе в rescue консоль запрашивать этот пароль.

    Здесь "уязвимость"/фичя того же порядка как shell busybox в initrd или режим single user mode в Linux.

    Если диски /boot и / шифрованы, то никто чужой этими фичами воспользовался не сможет.

     

     ....большая нить свёрнута, показать (30)

  • 1.1, Consta (?), 00:22, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Богато накопали, однако.
     
     
  • 2.21, Аноним (21), 03:05, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –17 +/
    а вот если бы писали на расте - то было бы бедно.
     
     
  • 3.30, Аноним (30), 05:35, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > а вот если бы писали на расте - то было бы бедно.

    А раст что, телепатить умеет? Там ошибка в том что все должно было вырубиться после ошибки, а оно ругнулось сообщением и как ни в чем не бывало продолжило пахать дальше. Раст сам по себе от такого не поможет.

    И вообще, секурбут очень забавная штука. Ну вот например с ним бывает так:
    https://www.securityweek.com/microsoft-pulls-uefi-related-windows-update-after

    ...так что даже если вы и пропатчите grub, это еще не значит что хаксор не загрузит трэшак с касперского буткита. Более того - попытка это заткнуть привела к unbootable системам у хомячков и мс быренько убрал апдейт, видимо не жаждя отвечать за "кирпичи" :D

     
     
  • 4.46, asdasd (?), 07:41, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не говоря уже о том, что низкоуровневые вещи один черт в unsafe будут, а мантра "небезопасные блоки локализированы и будет проще найти" в жизни не сработает. У C/C++ одних только санитайзеров у компилятора тьма.
     
     
  • 5.57, Аноним (57), 08:47, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да просто на самом деле правда жизни такова что GRUB жирная и фичастая скотина, ... большой текст свёрнут, показать
     
  • 5.60, Аноним (60), 08:55, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эти санитайзеры ругаются на функции glibc. Приходится заменять на аналоги, на которые не ругается, специально, чтобы удовлетворить санитайзеры.
     
     
  • 6.67, Аноним (-), 09:07, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Эти санитайзеры ругаются на функции glibc. Приходится заменять на аналоги, на которые
    > не ругается, специально, чтобы удовлетворить санитайзеры.

    Они много на что ругаются. И довольно часто - имея на это некий пойнт.

     
     
  • 7.70, Аноним (70), 09:12, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    p.s. в grub нет вызовов glibc :P
     
  • 4.89, Аноним (89), 10:16, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там ошибка в том, что присутствует киллерфича переполнение буфера, которое може... большой текст свёрнут, показать
     
     
  • 5.272, Forth (ok), 14:57, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Валезание за пределы буфера заканчивается panic, который приводит к остановке программы.
    Да, принципиальная возможность перехватить панику есть, задумана для модульных тестов, проверять паникуют ли, когда надо.
    Использование такого в обычной программе порицается :)
     

  • 1.2, Аноним (2), 00:23, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +31 +/
    так это фича!
     
     
  • 2.127, Аноним (127), 14:12, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > так это фича!

    Согласен, однако, значит ли это, что на упоротые ноутбуки с нетключаемым секуребутом, на которые нельзя было поставить линуксы, теперь можно поставить, и если да, то где можно почитать как эксплуатировать эту уязвимость?!

     

  • 1.4, marios (ok), 00:41, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    А всё почему? Потому что GRUB надо переписать на Rust :)
     
     
  • 2.22, Аноним (21), 03:06, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    и вообще всю ефи тоже на раст переписать.
     
     
  • 3.31, Аноним (31), 05:40, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > и вообще всю ефи тоже на раст переписать.

    Так перепишите, кули. А то все вы такие умные с вашими серебряными пулями. Покажите себя в деле, не?

     
  • 3.94, Аноним (94), 10:27, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    EFI лучше выуинуть к чертям собачьим. Производитьелям материнок никто не запрещает пользоваться Coreboot.
     
     
  • 4.150, None (??), 15:37, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Таки да. Оно породило больше проблем, чем решило.
     
  • 2.65, Анином (?), 09:03, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.myinstants.com/instant/counter-strike-go-go-go/
     
  • 2.93, Аноним (94), 10:25, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Минусующие не понимают в сарказм.
     
  • 2.121, Вы забыли заполнить поле Name (?), 12:42, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    на JavaScript
     
  • 2.268, Аноним (231), 11:49, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На Дерипаско.
     

  • 1.5, Антон (??), 00:46, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Локальный злоумышленник с административными привилегиями (или с физическим доступом к системе) может использовать эту проблему
     
     
  • 2.6, Аноним (6), 01:14, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +25 +/
    если у атакующего есть физический доступ к системе - дырка в грубом это меньшее о чем стоит беспокоиться
     
     
  • 3.25, sysrise (ok), 04:15, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "если у атакующего есть физический доступ к системе...." То перед ним открываются просто безграничные возможности, если конечное он профессиональный IT специалист, а не секретарь руководителя с белыми волосами...
     
     
  • 4.92, lleeree_ (ok), 10:24, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это может быть обезьяна с подготовленной флешкой, обученная нажать несколько кнопок.
     
     
  • 5.146, rshadow (ok), 15:18, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да можно и просто с молотком. Потеря машины и данных гарантирована.
     
     
  • 6.165, lleeree_ (ok), 16:58, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Шуруповёрт надежнее.
     
  • 3.45, хотел спросить (?), 06:58, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну и какие у него шансы с Epyc, где есть TSME и FDE?

    Скажем так не очень большие... несанкционированную перезагрузку скрыть нельзя.

    Вмешательство в корпус тоже сложно не заметить.

    В таком случае физический доступ дает лишь физическое уничтожение или кражу оборудования.

    Все пишут как это легко и просто, но это ничерта непросто.
    Может быть возможно, но точно не просто.
    Или вы мне расскажете много нового?

     
     
  • 4.48, Аноним (49), 08:01, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пункт 2. https://www.opennet.dev/openforum/vsluhforumID3/121426.html#47
     
     
  • 5.210, хотел спросить (?), 09:07, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Пункт 2. https://www.opennet.dev/openforum/vsluhforumID3/121426.html#47

    если факт несанкцированной перезагрузки установлен, то всё - система скомпрометирована - можно восстанавливать бутовый раздел

    короче это все геморно для прода, но можно заморочиться, особенно если colocation и доступ к железу есть для обслуживания

     
     
  • 6.256, Аноним (-), 07:55, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > если факт несанкцированной перезагрузки установлен, то всё - система скомпрометирована
    > - можно восстанавливать бутовый раздел

    Вы серьезно на каждый проскок питания или что там у вас это делаете? А не проще тогда сделать напрочь readonly образ или грузить сие по сети, etc? Так что образ каждый раз будет правильным? Если уж такой радикализм?

     
     
  • 7.275, хотел спросить (?), 06:07, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в датацентре с аптаймом 99 99 какой-такой проскок питания грузить по сети чере... большой текст свёрнут, показать
     
  • 4.61, Аноним (57), 08:56, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Оптимизм это конечно круто, да Еше скажи что ты полностью понимаешь как все это... большой текст свёрнут, показать
     
     
  • 5.211, хотел спросить (?), 09:16, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Читаю не списки а профильные сайты И да я смотрел конференцию CCC где эпики рас... большой текст свёрнут, показать
     
     
  • 6.247, Аноним (247), 18:40, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Однако ж CVE были и в PSP и в ME И что характерно, хаксорский код потом вообще ... большой текст свёрнут, показать
     
  • 2.68, Аноним (81), 09:10, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот, еще один Аноним задался правильным вопросом!

    https://www.opennet.dev/openforum/vsluhforumID3/121426.html#47

    Практично уязвимости CVE-2020-10713 (BootHole) не существует!!!

    Зачем же ее придумали в TedHat?

    Правильно, чтобы под предлогом исправления внести какую-то дрянь и что-то похерить...

     
     
  • 3.290, Аноним (290), 14:41, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Похерили? http://techrights.org/2020/07/30/wontboot/
     

  • 1.7, Аноним (7), 01:14, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну а что мешает ровно таким же образом вместо grub.cfg подменить ядро/инитрамфс на бэкдорнутое?
     
     
  • 2.8, Аноним (8), 01:19, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Для самых внимательных в статье прям картинка есть - подпись ядра проверяется при загрузке
     
     
  • 3.58, Аноним (81), 08:49, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кем должно проверяется ядро если в процессе загрузки используется grub?

    Внимательно смотри на картинку!

     
     
  • 4.206, Аноним (206), 08:41, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Кем должно проверяется ядро если в процессе загрузки используется grub?

    Grub, разумеется.

     
  • 2.11, AnonPlus (?), 01:36, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бы SecureBoot именно против такой подмены и существует. Ты загоняешь в прошивку свои ключи вместо Microsoft-овских, подписываешь загрузчик, подписываешь ядро и всё - при подмене загрузчика или ядра на неподписанное (у злоумышленника твоей подписи же нет), будет облом.
     
     
  • 3.32, Аноним (31), 05:43, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну как бы SecureBoot именно против такой подмены и существует. Ты загоняешь
    > в прошивку свои ключи вместо Microsoft-овских, подписываешь загрузчик, подписываешь ядро
    > и всё - при подмене загрузчика или ядра на неподписанное (у
    > злоумышленника твоей подписи же нет), будет облом.

    Вот та часть "вместо" может и не получиться. Потому что они предустановлены и не факт что удастся вытряхнуть. А "вместе" с мсовскими - ну вон там блэкхэты какой-то буткит касперского подписаный мсом вон освоили для этого дела. И попытки это зарубить сделали юзерам кирпичи, так что ms отпедалил взад.

     
     
  • 4.35, Аноним (35), 05:54, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это только если биос кривой, ну или еще если это ноут по акции с Microsoft куплен Windows only. Secureboot тут непричем.
     
     
  • 5.64, Аноним (-), 09:00, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, блин, биос по жизни так или иначе кривой Другим он просто не бывает Уж доп... большой текст свёрнут, показать
     
  • 5.194, AnonPlus (?), 02:12, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Просто не покупай Surface и подобные железки, где ключи нельзя вытряхнуть.

    Во всех виденных мною десктопных материнках, можно удалить предустановленные ключи. Особые параноики могут также раздербанить прошивку и физически вычистить эти предустановленные ключи, благо утилит для работы с UEFI-прошивками в достатке.

     
     
  • 6.204, Аноним (206), 08:36, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто не покупай Surface и подобные железки, где ключи нельзя вытряхнуть.

    На железке заранее не написано - можно там или нельзя.

    > Во всех виденных мною десктопных материнках, можно удалить предустановленные ключи. Особые
    > параноики могут также раздербанить прошивку и физически вычистить эти предустановленные
    > ключи, благо утилит для работы с UEFI-прошивками в достатке.

    Увы, это не особые параноики а мамкины кулхаксоры из уютной виндочки с довольно так себе понятиями о информационной безопасности. И как максимум все это голимые полумеры. Даже если все это сделать с всеми этими тантрами, у меня останутся несколько мегов мутных блобов без сорца делающих фиг знает что. И это фиг знает что - совсем никто не аудитил, по большому счету.

     
  • 3.62, Аноним (81), 08:58, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну как бы SecureBoot именно против такой подмены и существует. Ты загоняешь в прошивку свои ключи вместо Microsoft-овских, подписываешь загрузчик, подписываешь ядро и всё - при подмене загрузчика или ядра...

    Кто проверяет подписи:
    1. Самого UEFI перед его загрузкой и испоьнением?
    2. Ядро grub с необходимыми модулями крыптографии для расшифровки /boot, публичными ключами grub, модулями grub для проверки подписей и переменными окружения grub?
    3. Подгружаемые по требованию модули, настройки grub?
    4. Ядра и инитрд OS?
    5. Процесс #1 init и все остальные исполняемые в системе файлы, библиотеки, настройки и данные доступные только для чтения?

    Что такое доверительную сертифицированная цепочка загрузки OS?

     
     
  • 4.66, Аноним (-), 09:05, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На интеле потенциально бутгад может Проблема в том что это подписывается ну воо... большой текст свёрнут, показать
     
     
  • 5.77, Аноним (81), 09:29, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зависит от производителя В идеале процессором аппаратно есть возможность шифров... большой текст свёрнут, показать
     
     
  • 6.126, Аноним (126), 14:10, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    С точки зрения покупателя - лотерея Без возможности оверрайда, если не угадал ... большой текст свёрнут, показать
     
     
  • 7.214, Аноним (219), 10:37, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Читать документацию перед покупкой системы На сколько я понял вхардкорен куда-т... большой текст свёрнут, показать
     
     
  • 8.250, Аноним (-), 19:36, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Честно сказать юзеру что его держат за лоха Это не очень популярно Вхардкоже... большой текст свёрнут, показать
     
     
  • 9.262, Аноним (258), 08:58, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я подробностей реальной технической реализации не знаю Читал популярные, а не т... большой текст свёрнут, показать
     
  • 4.195, AnonPlus (?), 02:15, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    1. Никто, но есть такая прекрасная штука как TPM-модуль. Задействуй его в процессе шифрования накопителя (у TPM один из регистров отвечает за контрольную сумму прошивки). В этом случае, если хоть байт в прошивке изменится, регистры TPM выдадут иное значение и накопитель не расшифруется.

    А дальше уже по цепочке: UEFI проверяет подпись загрузчка, загрузчик - подпись ядра.

     
     
  • 5.196, AnonPlus (?), 02:17, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Уточнение, есть еще BootGuard, вот он может проверять подпись прошивки. Но он лишает тебя возможности самому модифицировать прошивку. Поэтому я предпочитаю связку "шифрование системного раздела + TPM", что обеспечивает защиту от незаметного изменения прошивки.
     
  • 2.69, Аноним (81), 09:11, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот, еще один Аноним задался правильным вопросом!
    https://www.opennet.dev/openforum/vsluhforumID3/121426.html#47

    Практично уязвимости CVE-2020-10713 (BootHole) не существует!!!

    Зачем же ее придумали в TedHat?

    Правильно, чтобы под предлогом исправления внести какую-то дрянь и что-то похерить...

     
     
  • 3.71, Аноним (70), 09:14, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зачем же ее придумали в TedHat?

    Однако демьян апдейты grub все же выкатил. А то что она не эксплуатируемая в большинстве конфиг - отлично, но баги чинить все же надо.

     

     ....большая нить свёрнута, показать (20)

  • 1.9, foo (?), 01:20, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    systemd-boot рулит, systemd-boot неуязвим
     
  • 1.10, Андрей (??), 01:30, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дыра в самом SB, но виноват grub ? :think:
     
     
  • 2.12, AnonPlus (?), 01:37, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Переполнение буфера в grub, читаем внимательно, да?
     
     
  • 3.33, Аноним (31), 05:45, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Переполнение буфера в grub, читаем внимательно, да?

    Там соль не в этом, а в том что он продолжил как ни в чем ни бывало пахать после явно фатально ошибки. Всего-то выкинув сообщение и продолжив. То что за таким поведением проги следует - в общем то undefined.

     
     
  • 4.103, Аноним (102), 11:44, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Фатальная ошибка в загрузчике = кирпич.
     
     
  • 5.129, Аноним (129), 14:22, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Фатальная ошибка в загрузчике = кирпич.

    Вы только подумайте, секурбут в лучшем для вас случае ничего не делает. В случае срабатывания он делает вам именно кирпич.

    Это некий tradeoff: вы просаживаете reliabilty в пользу security - потому что измененный код делающий нечто непредсказуемое как минимум теоретически будет зарублен.

    У самого по себе линукскернела есть более мягкая и менее саботерская реализация, кста: оно при несовпадении подписи модуля может пометить себя как tainted но продолжить работу. Однако при этом стоит понимать что особо наглый и прошареный ("хакерский") модуль может в принципе tainted состояние в памяти и почистить если ему сильно надо софт наесть.

     
     
  • 6.151, kmeaw (?), 15:43, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому в Linux есть режим lockdown, в котором хакерские модули грузить нельзя.
     
     
  • 7.252, Аноним (-), 19:51, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Поэтому в Linux есть режим lockdown, в котором хакерские модули грузить нельзя.

    А прикольно о нем рассказать тому кто его как раз у себя и включил?

     
  • 3.267, Аноньимъ (?), 11:18, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Концептуально, в чем безопасность URFI секур бута если ошибка в приложении вне U... большой текст свёрнут, показать
     

  • 1.13, qbr (?), 01:42, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Был же старый добрый MBR, работал и есть не просил. Нет, обязательно надо выпендриться и придумать какую-то неведомую хрень, вместо развития уже работающей технологии. В большенстве случаев MBR продолжает работать и сейчас, но в некоторых недо-дистрибах его уже не поддерживают. Уроды!
     
     
  • 2.14, kmeaw (?), 02:05, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как реализовать сценарий secure boot с MBR? Где будет лежать подпись? Напомню, что размер IPL — всего 440 байт.
     
     
  • 3.19, Аноним 80_уровня (ok), 02:33, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Ваш комментарий подразумевает, что реализация сценария secure boot - это что-то нужное, если не необходимое.
     
     
  • 4.20, DerRoteBaron (ok), 02:43, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это что-то в некоторых случаях небесполезное, т.к. усложняет эксплуатацию физического доступа к оборудованию
     
     
  • 5.23, Аноним (21), 03:12, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > эксплуатацию физического доступа

    закрой свой комп в тумбочку, ключ раствори в кислоте... профит! Некоторые нерадивые рабовладельцы так и делают.

     
  • 5.109, RADV (?), 11:53, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это защита от руткитов, которые подменяют ядро на свое собственное. Это не защита от физического доступа.
     
  • 5.114, Аноним (114), 12:08, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А нельзя было просто в биосе прописать, что без ввода пароля от биоса запретить загружаться со всяких флешек и СД ?
     
     
  • 6.117, kmeaw (?), 12:21, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Можно снять крышку, вытащить диск, переписать на нём загрузчик и поставить обратно.
    Можно найти баг в загрузчике или ОС, получить рута и переписать загрузчик.

    Secure Boot в таких случаях защитит пользователя, так как откажется грузиться в скомпрометированную систему.

    Тут конечно остаётся вопрос, раз злоумышленник смог проникнуть в систему, то он и повторить это сможет. Но это должно решаться обновлениями безопасности.

    Vendor-lock это хорошо, если каждый без особых усилий может стать vendor'ом — выпускать свои подписанные загрузчики и ядра. А спецификация Secure Boot требует наличия возможности загрузить пользовательские ключи, против которых проверяется загрузчик ОС.

     
     
  • 7.120, kkk (??), 12:37, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если каждый легко может стать vendor-ом, то смысл в vendor lock пропадает и этой защиты неизвестно от кого тоже нет. Если у меня есть физический доступ к компьютеру и возможность снять крышку, вытащить диск и что-то на нём переписать, почему у меня не будет возможности ещё и заменить ключи на свои и подписать ими то, что я переписал?

    Кому вообще нужна эта защита на десктопах и рабочих станциях?

     
  • 7.130, Аноним (129), 14:27, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно получить рута на компе, прописать хлам в загрузочный раздел сектор и д... большой текст свёрнут, показать
     
     
  • 8.148, kmeaw (?), 15:24, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если диск зашифрован Злоумышленнику очень бы хотелось заменить загрузчик на т... большой текст свёрнут, показать
     
  • 7.198, Аноним (-), 06:25, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что помешает злоумышленнику добавить свой ключ в список доверенных SB? Если же возможности добавить свои ключи нет, то это уже совсем плохо, это получается ты не можешь на своем железе запустить свое ядро.
     
  • 3.34, Аноним (31), 05:50, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сделать IPL и первую статию загрузчика наглухо readonly А вот дальше в них чека... большой текст свёрнут, показать
     
     
  • 4.115, kmeaw (?), 12:15, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А как обновлять этот IPL тогда?
    И в 440 байт сложно уместить алгоритм проверки подписи.

    Смысл всех этих BIOS Guard, Secure Boot, Trusted Boot, TPM, Measured Boot в том, что система не жёстко фиксируется на readonly-носителе, а может обновляться, но не злоумышленником.

     
     
  • 5.132, Аноним (132), 14:40, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    1 А что если никак Зачем вам обновлять мелкий прелоадер Вы же не обновляете ... большой текст свёрнут, показать
     
     
  • 6.147, kmeaw (?), 15:20, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы уверены, что сможете с первого раза написать идеальный прелоадер без ошибок ... большой текст свёрнут, показать
     
     
  • 7.217, Аноним (-), 11:02, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, во первых, с 1 раза и не надо - зачем вам устраивать локаут себе на тестово ... большой текст свёрнут, показать
     
  • 3.113, kkk (??), 12:07, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем вообще нужен secure boot, кроме как для vendor lock?
     
     
  • 4.116, kmeaw (?), 12:16, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы злодей, кратковременно получивший физический доступ к оборудованию или через ошибку в ОС получивший возможность писать на диск не смог закрепиться в системе.
     
     
  • 5.178, kkk (??), 20:31, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, чтобы ты не дай бог, не поставил себе чего-то несертифицированного.
     
  • 4.202, Павел (??), 07:34, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Злодей, имеющий физ доступ, может прописать свои ключи в биос. Поэтому secureboot не защитит от такого злодея
     
  • 2.18, Annoynymous (ok), 02:26, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я прямо в предвкушении был этого комментария, открывая текст новости.

    Образцовый невежда.

     
     
  • 3.37, Аноним (35), 05:59, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Он досих пор наверное под MSDOS сидит с дисками 100Мб
     
     
  • 4.43, Адекват (ok), 06:43, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В этом все линуксоиды, взять и извратить до абсурда мысль собеседника!

    -Я не хочу обновляться, потому что после обновлений что-то бывает ломается.
    -А ну быстро откатился на ядро 2.4 и КДЕ2 !

     
  • 2.55, Аноним (81), 08:44, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня MBR работает до сих пор, главное, чтобы размер свободного места в начале диска, был больше размера ядра grub, которое включает публичные ключи, крыптографию для их проверки и крыптографию для расшифровки /boot. Если у вас не влезет, то надо дополнительный мелкий диск для ядра grub.
     
  • 2.59, Аноним (59), 08:52, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    MBR не умеет в GPT, не умеет больше 4 физических разделов, не умеет разделы > 2Тб
    EFI/UEFI это хорошо, а вот SecureBoot плохо
     
     
  • 3.63, Аноним (60), 08:59, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    не MBR не умеет, а отвратительные недостаточно модульные биосы, сделанные с расчётом на запланированное устаревание.
     
  • 3.83, Аноним (81), 09:45, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ставь GPT и малюсенький раздел для BIOS GRUB, перед разделом /boot и все у тебя будет работать без ограничений.

    SecureBoot это необходимая технология в цепочке верификации загрузки компьютера. Она нужна для проверки целостности и аутентичность загрузчика OS.

     
  • 3.84, aa (?), 09:51, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >MBR не умеет в GPT

    добавить поддержку никто не мешает - это всего лишь прочитать пару секторов

    >, не умеет больше 4 физических разделов

    во-первых что такое "физический раздел"? физически на диске разделы не создаются, бывают только логические
    во-вторых не умеет как раз таки досовская таблица разделов, а в первом пункте мы уже добавили поддержку гпт

    >, не умеет разделы > 2Тб

    см п.2

     
  • 3.101, kkk (??), 11:35, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1 GPT - это раздутая и искуственно усложнённая система разделения диска 2 Бол... большой текст свёрнут, показать
     
     
  • 4.119, kmeaw (?), 12:35, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    GPT хорош наличием GUID у диска и раздела Это позволяет однозначно идентифициро... большой текст свёрнут, показать
     
     
  • 5.125, kkk (??), 13:25, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что ты понимаешь под однозначно идентифицировать разделы В MBR ты знаешь всё,... большой текст свёрнут, показать
     
     
  • 6.149, kmeaw (?), 15:36, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После того, как система запустилась, ей может быть нужно найти раздел на диске ... большой текст свёрнут, показать
     
     
  • 7.159, kkk (??), 16:29, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Разве Linux до сих пор не умеет находить dev sda4 Как он вообще работал всё эт... большой текст свёрнут, показать
     
     
  • 8.169, пох. (?), 17:30, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    дедушка, вы таблетку от склероза забыли принять Если сожрали вместо нее эклер -... большой текст свёрнут, показать
     
     
  • 9.179, kkk (??), 20:43, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Типичный напыщенный хам Это ты таблетку забыл принять Ты глуп и невежественен ... большой текст свёрнут, показать
     
     
  • 10.180, пох. (?), 20:53, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    лол Дальше можешь не продолжать Дос ты видел только в ютубчике, а описание па... текст свёрнут, показать
     
     
  • 11.221, Аноним (221), 11:38, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эм, по-моему бутсектор логического диска не партишна искал нечто типа IO SYS и... текст свёрнут, показать
     
     
  • 12.249, kkk (??), 19:22, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, именно так А никак не на специальные секторах диска Именно поэтому IO SYS ... текст свёрнут, показать
     
  • 12.265, пох. (?), 10:25, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да ничего он не искал , в нем за вычетом bpb места еще меньше чем в mbr, и того... большой текст свёрнут, показать
     
     
  • 13.273, kkk (??), 17:54, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Дурачок, когда же ты хотя бы просто посмотришь дамп бутсектора FAT Я уже не гов... текст свёрнут, показать
     
     
  • 14.278, пох. (?), 16:28, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ты свой ник не в то поле вписал дамп бутсектора лолшта - FAT Отлично, просто... большой текст свёрнут, показать
     
     
  • 15.286, kkk (??), 09:27, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Первый сектор файловой системы Посмотри что написано в первом секторе, дурачок ... большой текст свёрнут, показать
     
  • 11.248, kkk (??), 19:18, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это ты DOS никогда не видел и даже не потрудился проверить то, что тебе говорят ... текст свёрнут, показать
     
  • 9.274, kkk (??), 19:44, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Специально для тебя https www youtube com watch v V5tMCTOcg8k Будь мужиком, п... текст свёрнут, показать
     
  • 8.172, Sarcastic scutosaurus (?), 17:32, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Замечательно умеет Только при очередной перезагрузке это может оказаться раздел... текст свёрнут, показать
     
     
  • 9.184, AlexYeCu_not_logged (?), 20:56, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты вменяемый ... текст свёрнут, показать
     
     
  • 10.187, Sarcastic scutosaurus (?), 21:24, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, давно не проверялся А что Или ты просто не в курсе, что инициализация... текст свёрнут, показать
     
     
  • 11.191, AlexYeCu_not_logged (?), 22:08, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Т е про UUID ты не в курсе ... текст свёрнут, показать
     
     
  • 12.242, Sarcastic scutosaurus (?), 16:34, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    UUID чего У раздела в случае msdos-разметки нет никакого UUID Они могут быть у... текст свёрнут, показать
     
     
  • 13.244, AlexYeCu_not_logged (?), 18:18, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почитал у гражданина какие-то невнятные проблемы с поиском раздела sdx он х... текст свёрнут, показать
     
     
  • 14.246, Sarcastic scutosaurus (?), 18:37, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема описана вполне внятно на разделе может быть нечто, не идентифицируемое... текст свёрнут, показать
     
     
  • 15.266, пох. (?), 10:39, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну могу тебе показать машину, где именно при каждой, угадай где у нас сегодня ди... текст свёрнут, показать
     
     
  • 16.269, Аноним (102), 12:12, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И в чём у тебя проблема с лейблами Хоть руками mount -L делай, хоть в fstab их ... текст свёрнут, показать
     
     
  • 17.277, пох. (?), 16:19, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    то что ты даже не понял, о каких лейблах речь ... текст свёрнут, показать
     
     
  • 18.279, Аноним (102), 20:21, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Заинтриговал ... текст свёрнут, показать
     
     
  • 19.292, пох. (?), 03:11, 04/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    не, сам запутался - -L это именно оно, partition label в отличие от LABEL , кот... текст свёрнут, показать
     
     
  • 20.295, Аноним (102), 22:45, 04/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эээ 8230 А где этот partition label лежать-то должен В DOS disk label на кажд... текст свёрнут, показать
     
  • 21.297, пох. (?), 00:17, 05/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в partition table, вестимо Если она, конечно, GPT Собственно, это одна из прич... текст свёрнут, показать
     
  • 22.301, Аноним (102), 23:01, 05/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А, ты про GPT 8230 Просто выше-то MBR обсуждали Но и что в GPT можно имена ра... текст свёрнут, показать
     
  • 23.305, пох. (?), 18:49, 06/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    повторяю в той _единственной_ реальной ситуации, когда на самом деле могут возн... большой текст свёрнут, показать
     
  • 22.302, Аноним (102), 23:04, 05/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Впрочем, можно их при желании в fstab зафигачить dev disk by-partlabel ... текст свёрнут, показать
     
  • 23.303, пох. (?), 13:38, 06/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    о, научились Но, похоже, это фича ядер после 4 какой-то, мое так не умеет и так... текст свёрнут, показать
     
  • 24.304, Аноним (102), 16:05, 06/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На, дарю ENV ID_PART_ENTRY_SCHEME gpt , ENV ID_PART_ENTRY_NAME , SYMLI... текст свёрнут, показать
     
  • 25.306, пох. (?), 18:55, 06/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты мне лучше найди куда вставить создание этих меток Причем - динамическое При... текст свёрнут, показать
     
  • 26.307, Аноним (102), 11:41, 07/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Э не, вот это уже только за деньги ... текст свёрнут, показать
     
  • 17.293, пох. (?), 03:18, 04/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    то что в fstab вместо них автоматически записывается неведомая вредная херня ме... большой текст свёрнут, показать
     
     
  • 18.296, Аноним (102), 22:50, 04/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В случае с dd лейблы никак не помогут, с ними ровно такая же путаница будет ... текст свёрнут, показать
     
     
  • 19.298, пох. (?), 00:23, 05/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    лэйблы помогут - тем что ты это увидишь и сможешь понять, где какой - если я сей... текст свёрнут, показать
     
  • 9.251, kkk (??), 19:50, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    При наличии одного SATA контроллера с несколькими портами Ты уверен Кроме того... текст свёрнут, показать
     
  • 7.182, AlexYeCu_not_logged (?), 20:55, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Как мне найти этот sda4?

    0_0. Эм, а вы вообще /etc/fstab видели когда-нибудь?

     
  • 5.133, Аноним (-), 14:51, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > GPT хорош наличием GUID у диска и раздела. Это позволяет однозначно идентифицировать

    ...всяких бакланов, подпихивая им небольшое персональное клеймо? :)

     
     
  • 6.183, пох. (?), 20:55, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> GPT хорош наличием GUID у диска и раздела. Это позволяет однозначно идентифицировать
    > ...всяких бакланов, подпихивая им небольшое персональное клеймо? :)

    не будь лохом, скопируй uuid у другого баклана!

    (правда, потом будет немного обидно присесть за его cp)

     
     
  • 7.222, Аноним (221), 11:39, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > не будь лохом, скопируй uuid у другого баклана!

    Ну, давай сюды свой :)

    > (правда, потом будет немного обидно присесть за его cp)

    Так зачем же CP копировать, толко гуид :)

     
     
  • 8.299, пох. (?), 00:30, 05/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    держи e139ce78-9841-40fe-8823-96a304a09859 дык cp найдет товарищмайор, и решит ... текст свёрнут, показать
     
  • 5.181, AlexYeCu_not_logged (?), 20:53, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >GPT хорош наличием GUID у диска и раздела.

    Решается на уровне ОС, а за её пределами — зачем?

     
  • 3.105, Аноним (102), 11:50, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > MBR не умеет в GPT

    Да блин, что за каша в головах у людей? Если имеете в виду grub-pc, то так и пишите. MBR — это просто область на диске, она не может "работать" или "во что-то уметь".

    P. S. Да, к сведению: на машине, с которой я пишу, grub-pc и GPT. Всё работает.

     

     ....большая нить свёрнута, показать (76)

  • 1.15, Аноним (15), 02:09, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Критическая необходимость...
     
  • 1.16, Alexey (??), 02:11, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда трудности нет, то что тогда преодолевать?
     
     
  • 2.36, Аноним (36), 05:56, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда трудности нет, то что тогда преодолевать?

    Возьми шмот и айда в горы, узнаешь :)

     
     
  • 3.54, Аноним (81), 08:37, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Куда ты его посылаеш? Там сдохнуть вполне реально! Прочти статистику по РФ: в год ~1000 пропавших без вести в лесах...
     
     
  • 4.72, Аноним (70), 09:19, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Куда ты его посылаеш? Там сдохнуть вполне реально!

    К преодолению трудностей. К тому же по своему прикольному. Вообще, так по жизни - сдохнуть вполне реально. Гарантия 100%. Поэтому щелкать клювом вообще не рекомендуется.

    > Прочти статистику по РФ: в год ~1000 пропавших без вести в лесах...

    А теперь посмотрим статистику ДТП, почувствуем разницу. Но да, безбашенно такие вещи делать не рекомендуется.

     
  • 2.106, Sgt. Gram (?), 11:51, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Когда трудности нет, то что тогда преодолевать?

    Русский не родной?

     
     
  • 3.175, Alexey (??), 19:03, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Даже если был бы не родной, то как показать где должно быть разделение и как читать то, что написал автор? По произношению между "то" и "что" нет препинания. В данной теме описывается загрузчик, а не правила написания. Всё-равно присутствует загрузочная область с прошитым указателем, который начинает загрузку. Способ загрузки не сильно влияет на безопасность, с моей точки зрения :) Придумывать разные способы для одного и того же действия, это хорошо, для тех, кто так зарабатывает.
     
     
  • 4.188, Sgt. Gram (?), 21:35, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да какое препинание? Союзы научись употреблять. Либо s/когда/если/, либо s/то\(гда\)?//g.
     
     
  • 5.213, Alexey (??), 10:14, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Про союзы на regteston@mail.ru аж интересно стало, научи будь добр в данном конкретном примере.
     
     
  • 6.243, Sgt. Gram (?), 16:43, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что тебе непонятно?
    Если что-то, то нечто.
    Когда что-то, нечто.
    И никак иначе.
     
     
  • 7.254, Alexey (??), 20:56, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А почему нельзя? Или он не Великий и могучий.. пиши разъяснения на почту с примерами и пунктами правил не забудь указать применение кем в литературе, а то складывается впечатление, что я Тебя не понял.
     
     
  • 8.276, Sgt. Gram (?), 15:10, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Купи учебник, найми препода нормального не репетитора для ЕГЭ Ишь какой, на х... текст свёрнут, показать
     
     
  • 9.291, Alexey (??), 00:14, 04/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе трудно указать где это правило, когда оно было введено и на основании чего ... текст свёрнут, показать
     

  • 1.17, Аноним (17), 02:20, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >GRUB2

    Чем оно лучше lilo?

     
     
  • 2.24, Аноним (21), 03:13, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оно лучше, чем lilo
     
  • 2.39, Аноним (35), 06:00, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Своей громоздкостью, глючностью и вечными проблемами
     
     
  • 3.44, Адекват (ok), 06:47, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А еще негуманоидным синтаксисом, реально нужно иметь степени по клинописи, криптографии, латыни, изотереке, чтобы понять что там к чему.

    Вот в grub 0.97 был гуманоидный синтаксис:

    # ((1) Arch Linux
    title  Arch Linux Fallback
    root   (hd0,0)
    kernel /boot/vmlinuz26 root=/dev/disk/by-uuid/131aa439-f2c0-41e3-b239-c778fcf572a5 rootfstype=xfs ro
    initrd /boot/kernel26-fallback.img

    просто запомнить можно было, а по примеру интуитивно понять что к чему, попробуйте без интернетов и манов понять что в конфиге груб2.

    Нет, реально же просто три строчки, ну 4, 4ая титл, но для загрузки - три блин строчки нужно всего !!

     
     
  • 4.80, пох. (?), 09:36, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Вот в grub 0.97 был гуманоидный синтаксис:

    но к сожалению, альтернативно-одаренным его было никак не понять.

    Поэтому он объявлен нимодна-нималадежна, разработка запрещена под страхом отлучения от святого гна, и вместо него запилена невменяемая блоатварь, синтаксис которой предназначен вовсе не для гуманоидов, а для косоруких скриптов.

    СКРИПТОВ, блжад, в initial loader, который когда-то в 440 байт помещался.

    Зато, вот, с нескучным insecure boot (поздравляем со скомпроментированным ключом глупой microsoft - а нехрен было подписывать гнутый трешак) и кучей других интересных свойств - например, возможностью после (ненужного!) автообновления попасть в "rescue mode" и обнаружить что прочитать диск нам нечем - модуль не подгрузился, необходимый для загрузки модуля.

     
     
  • 5.135, Аноним (-), 14:55, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так он и теперь помещается Просто он запускает более жирный лоадер, тот догружа... большой текст свёрнут, показать
     
     
  • 6.158, пох. (?), 16:23, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    или не запускает, и ты сосешь лапу и бежишь за rescue диском а потом разгадывае... большой текст свёрнут, показать
     
     
  • 7.223, Аноним (-), 12:02, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я видел много странной фигни, но вот именно такого ни разу не встречал За десят... большой текст свёрнут, показать
     
     
  • 8.300, пох. (?), 00:59, 05/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    зато https bugzilla redhat com show_bug cgi id 1861977 встретили это у lilo ... большой текст свёрнут, показать
     
  • 4.152, kmeaw (?), 15:45, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    grub2:

    menuentry 'Arch Linux Fallback' {
        set root='hd1,msdos1'
        linux /boot/vmlinuz26 root=/dev/disk/by-uuid/131aa439-f2c0-41e3-b239-c778fcf572a5 rootfstype=xfs ro
        initrd /boot/kernel26-fallback.img
    }

    Разве сложно? Строк почти столько же.

     
     
  • 5.163, пох. (?), 16:45, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    если бы еще и работал - то цены бы ему не было Только он у тебя не сработает - ... большой текст свёрнут, показать
     
     
  • 6.168, kmeaw (?), 17:25, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ровно так у меня и работает Только сверху есть ещё кусок if loadfont EFI boot... большой текст свёрнут, показать
     
     
  • 7.185, пох. (?), 21:04, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ровно так у меня и работает. Только сверху есть ещё кусок:
    > if loadfont /EFI/boot/unicode.pf2 ; then

    ох, да, как это - да чтоб в загрузчик (сцуко - в ЗАГРУЗЧИК, Карл!) да не подгрузить нескучных шрифтецов!

    > Из которого тоже есть, что повыкидывать, если не нужен графический режим.

    я бы его весь выкинул, с большим удовольствием.

    > Аналогично работает, если собрать бинарник самому с помощью:

    знаешь, даже lilo как-то попроще был.

    И главное - в эпоху uefi это все нужно прямо как телеге гусеница от трактора.

     
     
  • 8.190, kmeaw (?), 21:56, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так не подгружай Он всё равно будет работать Разве это плохо, когда фича есть,... большой текст свёрнут, показать
     
     
  • 9.208, пох. (?), 08:52, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    расскажи это вот теперь счастливеньким де6иллиано-убунтоюзерам У которых ночью ... большой текст свёрнут, показать
     
  • 8.201, Адекват (ok), 07:08, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати, там что, ссылка на файл шрифта а если вместо шрифта будет какой-то сво... текст свёрнут, показать
     
  • 8.260, Аноним (-), 08:46, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Собственно, а почему бы загрузчику и не уметь нормально рисовать в гуевый режим,... текст свёрнут, показать
     
  • 6.259, Аноним (259), 08:42, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > что это, блжад, нахера оно, кто придумал весь этот п-ц

    Это для интеграции с пакетниками, апдейтами ядер и всем таким. Теперь пакетник поставив ядро запускает генератор конфигов и тот .. быренько делает зашибись. Перегенерив конфиг и добавив туда все ядра которые есть. Ну а заодно он систему в run time видит и знает какие там uuid всего этого и проч.

    В демьяне допустим на эту тему есть /etc/default/grub описывающий как его такой генерить. А в этом твоем grub 0.97 - ахто будет новый кернель в меню добавлять? И как в меню поиметь все кернелы имеющиеся в системе, допустим? Ну, дабы в случае невзлета нового кернела, допустим, был фалбак на более старые из менюхи бута? Не, можно как тот арчевод при этом - "ухтыб%#?!", но есть мнение что это малость непрактично :)

     
     
  • 7.270, пох. (?), 13:15, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вы забыли добавить - написанными вчерародившимися, ниасиляторами sed Вот вам су... большой текст свёрнут, показать
     
  • 5.200, Адекват (ok), 06:39, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, то что я показал - это реальный пример тех веремен, когда grub 0 97 был, а ... большой текст свёрнут, показать
     
     
  • 6.209, пох. (?), 09:02, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ну в первых же строчках все интуитивно-понятно - мы написали прекрасный конфиг ... большой текст свёрнут, показать
     
     
  • 7.261, Аноним (-), 08:48, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ну в первых же строчках все интуитивно-понятно - "мы написали прекрасный конфиг
    > - для РОБОТОВ. А людям тут делать нечего.

    Абсолютно!!! Если что-то надо - айда менять ШАБЛОН. А этот список динамический, он меняется каждый раз когда пакетник кернель ставит/сносит, например.

    И это по своему логично. Не надо самому прописывать новый кернель и можно при факапе выбрать более старый кернель в меню бутлоадера, если новый вдруг почему-то не прокатил.

     
     
  • 8.271, пох. (?), 13:24, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, щас, щас, еще один нескучный язычок вызубрю только к0к0к0й ужос Ведь sed-т... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (22)

  • 1.26, Аноним (26), 04:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Какой смысл вообще использовать Secure Boot с GRUB? Изначально понятно, что так будет. В UEFI есть свой менеджер загрузки, туда можно добавить любое приложение для UEFI типа ядра Linux.
     
     
  • 2.27, Аноним (27), 05:00, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Доступ к bios может быть ограничен на уровне uefi
     
     
  • 3.38, Аноним (38), 05:59, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    UEFI давно уже выяснено ломается и из системы получается доступ к изменению настроек. Поэтому люди развивают coreboot. А данная новость славна тем, что позволяет ставить Gentoo/Void с самосборным ядром даже на радикально огороженные устройства. И вот если убрать лаг загрузки биоса и использовать runit система внезапно грузится за несколько секунд даже с жесткого диска. Все эти ключи и подписи для болванов, которые верят, что им собрали ядро или всю систему без дыр. Мелкомягкие этим особр грешат. Впрочем занды есть и в коммерческих линуксах о чем давно рассказал Столлман.
     
  • 2.29, Аноним (-), 05:22, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > туда можно добавить любое приложение для UEFI типа ядра Linux.

    Ога, только ни рамдиск не положишь, ни командлайн не поменяешь небось. Поэтому фича больше для галочки - на самый крайний случай, конечно, линух и так позволяет, но это явно не есть удобное и функциональное использование ОС.

     
     
  • 3.160, пох. (?), 16:32, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> туда можно добавить любое приложение для UEFI типа ядра Linux.
    > Ога, только ни рамдиск не положишь, ни командлайн не поменяешь небось. Поэтому

    ну вот этим должен был заниматься как раз grub или какая-нибудь его замена. В идеале - встроенная в само ведро, потому что неясно, зачем нужна еще отдельная прокладка.
    Но нет. Это было бы слишком уж просто.

    Поэтому он делает кучу невменяемой ненужной хни ВМЕСТО того.

    Даже убогий systemd-boot (вопреки названию вообще ничего не умеющий загружать) выглядит меньшим г-ном.

     
  • 3.170, kmeaw (?), 17:31, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если прописывать ядро в nvram, то без проблем и командлайн, и initrd туда же мо... большой текст свёрнут, показать
     
  • 2.40, Аноним (35), 06:03, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Согласен. GRUB ненужен как и другие загрузчики. У меня ядро напрямую грузится из EFI
     
     
  • 3.41, Аноним (35), 06:06, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ramdisk и подпись для secureboot через gummiboot
     
  • 3.51, ryoken (ok), 08:20, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У вас, простите, 1 ядро необновляемое? В том же Дебе сразу после установки системы и установки всех обнов будет минимум 2-3. Это если не апгрейдиться до testing/sid. Вам доставляет удовольствие всю эту толпу прописывать?
     
     
  • 4.90, Аноним (90), 10:18, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Во всяких рачах ядро называется просто как-нибудь вроде vmlinuz-linux и раскатывается поверх старого
     
     
  • 5.110, Аноним (102), 11:54, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чё, правда? Прямо поверх, не симлинком? Отчаянные ребята.
     
  • 5.138, Аноним (-), 14:58, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Во всяких рачах ядро называется просто как-нибудь вроде vmlinuz-linux и раскатывается поверх старого

    А если вдруг система с новым ядром не запустилась - мы произносим удивленное "ухтыб$%?!" :D :D :D

    ...в то время как юзерь grub и какого там дебиана или убунт просто выбирает прошлый кернель и уже более предметно разбирается WTF. Или там кернелу командлайн меняет, типа nomodeset. А упомянутый подход катит для какого-нибудь киоска, но вот для компа относительно продвинутого юзера уже как-то не то.


     
     
  • 6.161, пох. (?), 16:34, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А если вдруг система с новым ядром не запустилась - мы произносим
    > удивленное "ухтыб$%?!" :D :D :D

    это рач, они даже не удивляются.

    > ...в то время как юзерь grub и какого там дебиана или убунт

    не может загрузиться даже со старым ведром - ведь у него (в связи с вот этой новооткрытой увизгвимостью, например) grub обновился, и теперь не может прочитать свою собственную жопу и вываливается в бесполезный rescue mode.

     
     
  • 7.205, пох. (?), 08:40, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    бть!
    Сглазил.
     
     
  • 8.225, Аноним (-), 12:08, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чего Кернел Или сабжа ... текст свёрнут, показать
     
     
  • 9.233, пох. (?), 14:18, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сабжа - реально все по моему сценарию и слуцилась этой же ночью - - и у убунтои... текст свёрнут, показать
     
     
  • 10.285, Michael Shigorin (ok), 08:22, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    режьте ОСТОРОЖНЕЙ ц PS http bugzilla redhat com 1861977 -- оно PPS это ... текст свёрнут, показать
     
     
  • 11.294, пох. (?), 14:50, 04/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    угу, и нифига так и не понятно - ни что это было, ни где запатчено в очередной р... текст свёрнут, показать
     
  • 7.224, Аноним (-), 12:07, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > это рач, они даже не удивляются.

    Ну так тем более - мне казалось, лезть каждый раз за загрузочной флехой должно бы и подзадолбать? Не? :)

    > не может загрузиться даже со старым ведром - ведь у него (в
    > связи с вот этой новооткрытой увизгвимостью, например) grub обновился, и теперь
    > не может прочитать свою собственную жопу и вываливается в бесполезный rescue mode.

    Ну вот если grub обломался - тогда уже упс, придется за флехой все же слазить и таки переставить старый.

     
     
  • 8.236, пох. (?), 14:21, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да куда лезть, она ж у них напостой в разъем воткнута, только диск выбрать ой, ... текст свёрнут, показать
     
  • 2.137, Аноним (102), 14:56, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Какой смысл вообще использовать Secure Boot?

    Вот так достаточно.

     

     ....большая нить свёрнута, показать (20)

  • 1.28, Аноним (-), 05:20, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > но и других операционных систем, включая Windows.

    Дык там один из довереных ключей ms утек, так что не похрен ли? Кто этого хотел - и так сто лет это могли. Блочить ключ не стали - загрузка, видите ли, сломается :)

     
     
  • 2.153, kmeaw (?), 15:47, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что мешает пользователю самостоятельно положить этот ключ в dbx?
     
  • 2.173, Аноним (173), 18:58, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык там один из довереных ключей ms утек, так что не похрен ли?

    А можно ссылочку на ключ или сам ключ?

     
     
  • 3.226, Аноним (-), 12:12, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Дык там один из довереных ключей ms утек, так что не похрен ли?
    > А можно ссылочку на ключ или сам ключ?

    Я такое не коллекционирую, но на форониксе новость была про малварь подписанную таким. И еще по ссылям в сабже можно найти рассказ про буткит касперыча с какого-то его rescue диска, чтоли, которым блэкхэты научились что попало грузить, аннулировав всю схему к хренам опять же. MS попробовал это зарубить - и быро отпедалил взад под вой окирпиченых юзерей. Поэтому оно так вроде и осталось работающим по сей день. Выбирая между просером своей репутации и вашей безопасностью MS выбрал понятно чего.

     
     
  • 4.284, Michael Shigorin (ok), 08:18, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну там и ещё вариант был...
     

  • 1.42, Fracta1L (ok), 06:41, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    > Уязвимость вызвана переполнением буфера

    Хахаха, как обычно.

    Жду от мамкиных экспертов визгов про кривые руки программистов и вот это всё.

     
     
  • 2.52, Аноним (49), 08:27, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Уязвимость вызвана переполнением буфера
    > Хахаха, как обычно.

    1. Тебе надо прочесть учебник о защите памяти в OS:
    Можно на C написать OS которая даст гарантию невозможности эксплуатации уязвимости переполнения буфера как в самом ядре OS, так и во всех программах, написанных на C и запускаемых на этом ядре OS!

    2. GRUB, пренебрегает безопасностью в угоду минималмстичности и простоты. Но одного Integrity, которое в GRUB есть, хватит чтобы сделать практическое использование уязвимости переполнения буфера нереальным - Integrity в grub верифицируется все, как исполняемые программы, так и данные.

     
     
  • 3.56, Fracta1L (ok), 08:45, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Можно на C написать...

    Вот и начались мантры))

     
     
  • 4.75, Аноним (75), 09:23, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот и начались мантры))

    Ну так покажи нам, ракам, как чай в варежках пить? Не, не покажешь? Потому что полный ламер в делах системных небось. И кернель у тебя небось не редокс нихрена. А круто ты придумал - юзать софт от других людей и гадить им на бошку, да? :)

     
     
  • 5.88, Fracta1L (ok), 10:06, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так покажи хоть одну используемую программу на Сишке без дыр
     
     
  • 6.143, Аноним (-), 15:04, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну так покажи хоть одну используемую программу на Сишке без дыр

    Ну дык djbdns например. А так что совсем без дыр и нафиченые проги - блин, поимейте совесть, дыры даже в пихоногуане бывают, хоть там яп и сделан для совсем уж имбецилов из младшей коррекционной группы детсада. Но отдельные тела все-равно умудряются прострелить себе пятки. Иногда достаточно остроумно, типа eval() на входных данных. Может эти веьмакаки в глубине души мечтали бутлоадер накодить, но стеснялись себе признаться в этом, мало ли :D

     
     
  • 7.162, Fracta1L (ok), 16:44, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну дык djbdns например

    Ахахахаха

    https://www.webcitation.org/68AXHUSJp?url=http://securityandthe.net/2009/03/05

     
     
  • 8.167, Аноним (102), 17:18, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это не сишная дыра, а логическая Такое на любом языке могло бы быть Гугли даль... текст свёрнут, показать
     
     
  • 9.203, Fracta1L (ok), 07:43, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Найс манявры ... текст свёрнут, показать
     
     
  • 10.227, Аноним (-), 12:14, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ладно, а вон те L4 и проч которые типа математически-доказаны ты ломать умееш... текст свёрнут, показать
     
  • 9.283, Michael Shigorin (ok), 08:17, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы пытаетесь спорить с упоротым глупцом, который мнит себя троллем Смысл Он ... текст свёрнут, показать
     
  • 4.212, Аноним (219), 09:50, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Двоечник, марш за учебниками! И чтобы до 1 сентября вот здесь: https://www.opennet.dev/tips/sml/#5 была твоя статья на тему "Как на C написать OS которая даст гарантию невозможности эксплуатации уязвимости переполнения буфера как в самом ядре OS, так и во всех программах, написанных на C и запускаемых на этом ядре OS"! Приведешь в статье примеры современных ядер OS которые дают гарантию невозможности эксплуатации уязвимости переполнения буфера.
     
     
     
    Часть нити удалена модератором

  • 6.220, Аноним (219), 11:20, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Linux+PAX тебе ничего не говорит?
     
  • 2.73, Аноним (75), 09:22, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Уязвимость вызвана переполнением буфера

    Она для начала вызвана игнором ошибки парсера, а это уже следствие обшего undefined behavior. Если прога игнорит фатальную ошибку - может быть все что угодно, это UB на вообще совсем любом ЯП.

    И кстати если ты не заметил - мегадыра в практических конфигах еще и неэксплуатируемая к тому же. Но исследователю про это указывать не с руки - а как же тогда быть с вот таким вот пиаром? Неспортивно! :)))

     
  • 2.111, Аноним (102), 11:57, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Жду от мамкиных экспертов визгов

    Товарищ папкин эксперт, покажи-ка свой код. Интересно, писал ли ты вообще на чём-то кроме КУМира.

     

  • 1.53, Аноним (53), 08:31, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ха-ха-ха мы закинем в ваш раздел efi свою уязвимость что бы искать другие уязвимости
     
  • 1.74, Онаним (?), 09:23, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ужас-ужас!
    А по сути - ничего собственно не произошло.
    Как был весь этот секуребут бессмысленным баззом, так и остаётся.
    Надеятся, что он реально обеспечит какие-то гарантии - ну так себе.
     
     
  • 2.76, Онаним (?), 09:23, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    //надеяться
     

  • 1.78, svsd_val (ok), 09:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хм, это за частую даже удобно, можно спокойно заливать любые системы на эту бесполезную хрень под названием уёфи... от неё толку мало только больше геморроя ...
     
  • 1.79, Hellraiser (??), 09:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > даёт возможность обойти механизм UEFI Secure Boot

    так это ж не уязвимость, а True-функционал;
    дурачок Мэтью Гаррет в ногах у микрософта валялся, чтобы "серьёзные дяденьки" подписали его прокладку для загрузки в uefi; а оказывается grub2 из коробки может обходиться без этого извращения :D

     
     
  • 2.82, пох. (?), 09:43, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мальчик, ты дурачок. В том и дело что НЕ может. И вот те серьезные дядечки - ХРЕН теперь другим дурачкам что подпишут, сколько ни умоляй, поскольку по факту поделка скомпроментировала их ключ.

    Ищите по помойкам уникальные платы, позволяющие вручную запихивать в них ключи, или вон - венду грузите, она загрузится.

    P.S. а яббл, получается, что-то знал, когда с именно этим ключом не захотел иметь дело, при том что ключи от десяточки (ms тоже о чем-то догадывалась и использовала для нее отдельную пару) принимал.

     
     
  • 3.85, Hellraiser (??), 09:58, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    девочка, не надо обзываться, это невежливо; лучше расскажи нам сказку, что только на уникальных платах с помоек можно загрузиться без ключа от мелгомягких

     
     
  • 4.282, Michael Shigorin (ok), 08:15, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Из коробки -- только с ним, увы.  По факту.  Отключение -- действие, которое далеко не каждый пользователь осилит (начиная с собственно "зайти в менюшки", что также постарались сделать более сложным и менее очевидным, плюс порой требующим реакции, а порой и вовсе загрузки винды -- возможно, с принятием EULA -- и уже оттуда перезагрузкой в фирмварь, чтобы тут же отключить FastBoot).

    Но вроде бы как по спецификации на x86 секирбут должен быть отключаемым, а ключи -- заменяемыми пользователем.

    PS: когда копал это всё дело -- вот что написал: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
    PPS: как же хорошо на эльбрусах без вот этого всего...

     
     
  • 5.287, пох. (?), 13:59, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > начиная с собственно "зайти в менюшки"

    Менюшек может просто не быть - вообще.

    > Но вроде бы как по спецификации на x86 секирбут должен быть отключаемым, а ключи -- заменяемыми
    > пользователем.

    ну да - зайдите в менюшку _своей_операционной_системы_ - и, если вам позволено политикой - отключите. Угадай о какой операционной системе тут речь, и почему.

    А вот заменять ключи та система не умеет - ей-то без надобности, она каким надо ключом подписана.

     

  • 1.86, Укуренный (?), 10:01, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Именно благодаря этой "уязвимости" у меня получилось установить линукс на hp pavilion вместо виндуса10, теперь после обновления линукс перестанет запускаться и я снова перейду на виндус10 или выкину ноут на помойку, спасибо.
     
     
  • 2.87, Hellraiser (??), 10:05, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вобщем-то ничто не мешает сделать так, чтобы после обновления остался "уязвимый" загрузчик
     

  • 1.97, mikevmk (??), 10:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А может мне кто-нибудь доходчиво объяснить, зачем в реальном мире нужен SecureBoot? Каков РЕАЛЬНЫЙ кейс использования?

    Где ты предполагаешь физический доступ проходимцев, но чтоб загрузить не смогли свое?

     
     
  • 2.99, tolstushka.ru (ok), 10:51, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Загрузочные вирусы же!
    Другое дело - кто их видел вобще за последние лет 5?
     
     
  • 3.100, mikevmk (??), 11:22, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну это ж никакой критики не выдерживает

    Т.е. получается, что вендор лок как мало-мальски рациональное предположение только и остается

     
  • 3.104, InuYasha (??), 11:49, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле этот SecureBoot - ТОЛЬКО НАЗВАНИЕ И НИЧЕГО БОЛЬЕЕ! Он НЕ SECURE, он ни от чего не спасает, никакие данные не защищает.
    ВОТ ИНФА О РЕАЛЬНЫХ ПРИНЦИПАХ UEFI:SecureBoot: https://github.com/pbatard/rufus/wiki/FAQ#Why_do_I_need_to_disable_Secure_Boot
     
     
  • 4.107, RADV (?), 11:52, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    СПАСИБО, БОЛЬШИЕ БУКОВЫ ЛУЧШЕ ВИДНО
     
  • 2.112, Аноним (102), 12:01, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В реальном мире на фиг не нужен. В идеальном же должна выполняться проверка подписей вообще всего испольняемого кода (включая скрипты, да).
     
     
  • 3.118, Аноним (21), 12:27, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > проверка подписей вообще всего испольняемого кода

    к этому и ведут: облачные ОС, облачные программы, всех в сад/инет

     
     
  • 4.141, Аноним (102), 14:59, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > облачные ОС, облачные программы, всех в сад/инет

    Ты правда думаешь, что там девляпсы что-то проверяют?

     
  • 3.140, vitalif (ok), 14:59, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это не идеал, это антиутопия
     
     
  • 4.142, Аноним (102), 15:02, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Иедальный, от слова "идея" — воображаемый, на практике недостижимый. Идеальный газ, всё такое. К моральной оценке отношения не имеет.
     
  • 2.122, Нанобот (ok), 12:52, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >зачем в реальном мире нужен SecureBoot

    ну, допустим есть сервер банка и нужно защитить его от руткитов режима ядра

     
     
  • 3.124, mikevmk (??), 13:24, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ты кейс целиком расскажи. А то это получается как турникеты в школах против террористов. Террорист придет таой, увидет турникет и уйдет не солоно хлебавши

    Вот ты, допустим, злоумышленник. Злоумышляешь против банка и умеет в руткиты. Твои действия?

     
     
  • 4.128, Аноним (21), 14:17, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Твои действия?

    Ну как-то так:
    1. прихожу в банк
    2. захожу в серверную
    3. вставляю флэшку с руткитом в усб
    4. перезагружаю сервер с флэшки
    5. используя уязвимость уефи, устанавливаю руткит.

     
     
  • 5.145, Аноним (-), 15:07, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Ну как-то так:
    > 1. прихожу в банк
    > 2. захожу в серверную
    > 3. вставляю флэшку с руткитом в усб
    > 4. перезагружаю сервер с флэшки
    > 5. используя уязвимость уефи, устанавливаю руткит.

    А охрана банка, соответственно, спокойно на все это втыкает? А не проще было тогда просто забрать, простите, деньги из банкомата? Особо наглые в принципе вместе с банкоматом иногда забирают даже.

     
     
  • 6.166, пох. (?), 17:11, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А охрана банка, соответственно, спокойно на все это втыкает? А не проще

    охрана втыкает нервно - потому что из стены в серверную хлещет дерьмо, и он вообще-то сантехник, срочно вызванный заткнуть свищ.

    Поэтому долго копаться в серверах ему не удастся, но один раз на пару минут отвлечь внимание - можно. secureboot как раз от таких сценариев.

     
     
  • 7.177, Аноним (21), 20:10, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    не надо судить о взломе банков по американским фильмам.
     
  • 7.228, Аноним (-), 12:20, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Поэтому долго копаться в серверах ему не удастся, но один раз на
    > пару минут отвлечь внимание - можно. secureboot как раз от таких сценариев.

    Понятно! Помогает только при съемке попсовых фильмов про хакеров, и то приходится писать UEFI аддон показывающий для дебилов большими красными буквами [ACCESS DENIED] на весь экран.

    И то - через пять минут по сценарию мегахакер делает какую-то мутную фигню и надпись меняется на [ACCESS GRANTED!!1111] и банкоматы начинают дико изрыгать купюры во всех направлениях. А довольный хакер с дружбанами быстро набивают сумки и карманы, стало быть, пока о...шая от такой наглости охрана не снялась с ручника.

     
     
  • 8.229, пох. (?), 12:38, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да в чем проблема-то Было бы мне надо - вполне мог бы что-то в этом роде исполн... текст свёрнут, показать
     
  • 4.171, Нанобот (ok), 17:32, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    допустим, я уже работаю в этом банке и имею полный доступ но в один прекрасным ... большой текст свёрнут, показать
     
     
  • 5.176, Аноним (173), 19:05, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если есть полный доступ можно и программатор принести и переписать всю уефину нахрен вместе со всеми ее секурбутами. Только не надо про раздевают и проверяют не засунул ли ты в программатор в анус, в банках таким не занимаются.
     
  • 5.186, пох. (?), 21:14, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это просто невозможно Код ядра безусловно подписан какой-то подписью, а вот вся... большой текст свёрнут, показать
     
     
  • 6.234, Нанобот (ok), 14:19, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Код ядра безусловно подписан какой-то подписью, а вот вся остальная система - нет. И раз тебя там держали в принципе - значит наверняка
    > в ней полно твоих собственных поделок, любая из которых может внезапно
    > делать не только то, для чего якобы предназначена, причем через штатные
    > конфиги писятого уровня вложенности, генерящиеся хрен знает какими скриптами.

    да, 100% защиты системы оно не даёт, оно защищает только одну конкретную область - ядро ос. тем не менее, наличие защиты всё равно лучше отсутствия защиты (за исключением тех случаев, когда защита создаёт больше проблем, чем решает)

     
     
  • 7.237, пох. (?), 14:27, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > да, 100% защиты системы оно не даёт, оно защищает только одну конкретную область - ядро ос.

    ну да, о том и речь - от другой совсем модели угроз, нежели полноправный админ с неограниченным временем, который там был описан.

    Вот от мимопробегающего с флэшкой малоквалифицированного биоробота - да.

    Ну так и увизгвимость вполне тому биороботу по силам (программу,разумеется, не он составит)

     
  • 5.199, Аноним (-), 06:29, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > secureboot это просто - код ядра подписан цифровой подписью

    чьей именно цифровой подписью?

     
     
  • 6.235, Нанобот (ok), 14:20, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> secureboot это просто - код ядра подписан цифровой подписью
    > чьей именно цифровой подписью?

    цифровой подписью разработчика операционной системы

     
  • 2.155, kmeaw (?), 15:53, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    SecureBoot — это гибкая альтернатива перемычке read-only на загрузочном носителе. Реальный кейс использования — массовое обновление ОС рабочих станций.

    От физического доступа не защищает почти ничего. Но испортить жизнь злоумышленнику, у которого есть только кратковременный физический доступ всё-таки можно.

    Если загрузочный носитель не read-only, то туда можно записать буткит (например через 0day-уязвимость в ядре ОС, которая будет исправлена завтра). Если read-only, то неудобно обновлять. Если Secure Boot, то обе проблемы решены.

     

  • 1.108, Zenitur (ok), 11:53, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Не баг, а фича.
     
  • 1.131, RedEyedMan (ok), 14:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Атакующий столкнет меня с моего места и взломает граб чтобы добраться до UEFI. Уязвимость, но мне пофиг. Другие сами знают что им делать.
     
  • 1.134, Аноним (-), 14:51, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    GRUB, GRUB2, LILO - это всё эпоха древнего Биоса. Парни сейчас эпоха UEFI, давайте попрощаемся с этими загрузчиками!
     
     
  • 2.144, Sarcastic scutosaurus (?), 15:05, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не дёргайся, они и UEFI благополучно переживут.
     
  • 2.164, пох. (?), 16:58, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > GRUB, GRUB2, LILO - это всё эпоха древнего Биоса. Парни сейчас эпоха
    > UEFI, давайте попрощаемся с этими загрузчиками!

    угу, systemd-boot наше всь... стоп, но это не загрузчик! Он ничего без дурацкого shim загрузить-то не может.

    А по факту как раз единственное с чем мы благополучно попрощались - это elilo.
    Который как раз был загрузчик, и, в отличие от настоящего lilo, не был непонятным недоразумением, унаследованным от флоппидисковых систем, а действительно разумным решением для uefi.

    В каком там году брошен - в 2012м, или раньше?

     

  • 1.139, vitalif (ok), 14:58, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Надоели мне эти "уязвимости". Физический доступ к девайсу должен означать полное овладевание всеми его внутренностями, несменяемые блобами прошивок и т.п.

    Вреда от залочек куда больше чем пользы

     
     
  • 2.156, kmeaw (?), 15:55, 30/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда нельзя будет реализовать защиту от подмены компьютера или его частей, когда он является куском какого-нибудь кластера.

    Если "залочки" существуют, то можно заставить удалённую машину пройти аттестацию, и только после этого доверять ей работу с секретными данными.

    Да, обычному пользователю всё это скорее всего не нужно.
    Ну разве что secure boot может быть полезен, чтобы не бояться буткитов.

     
     
  • 3.192, AlexYeCu_not_logged (?), 00:15, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Если "залочки" существуют, то можно заставить удалённую машину пройти аттестацию, и только после этого доверять ей работу с секретными данными.

    Забавно, что именно те, кто на самом деле работает с секретными данными, таки предпочитают всё это новомодное и дурнопахнущее отключать.

    Например:

    >Исследователи из компании Positive Technologies выявили недокументированную опцию для отключения механизма Intel ME 11 (Management Engine)
    >Компания Intel подтвердила, что опция была добавлена по запросу некоторых производителей оборудования, которые выполняют поставки по контракту с правительством США.

    Новость с этого же сайта, если что, 2017 год.

     
     
  • 4.193, kmeaw (?), 01:56, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Им проще обойтись физическими регламентами и по старинке поставить по парню с пулемётом у каждого входа. Так надёжнее. А превичную установку и настройку выполнять группами по несколько людей, чтобы шпион не смог единолично и без лишних глаз установить бэкдор.

    А вот как сделать распределённое вычислительное облако на узлах, которые находятся в недоверенных руках — это уже гораздо более интересная задача. Тут без подобных технологий не обойтись.

     
     
  • 5.197, Аноним (21), 04:14, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Облако в недоверенных руках будет тебе по пятницам 13-го выдавать 2+2=5. И не сразу заметишь. Что, забыли ошибки интела?
     
  • 5.245, AlexYeCu_not_logged (?), 18:21, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >и только после этого доверять ей работу с секретными данными
    > Им проще обойтись физическими регламентами

    Забавно.

     
  • 5.280, vitalif (ok), 01:39, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > распределённое вычислительное облако на узлах, которые находятся в
    > недоверенных руках — это уже гораздо более интересная задача. Тут без
    > подобных технологий не обойтись.

    Дурацкая задача, на руку только проприерастам

     

  • 1.154, Аноним (154), 15:50, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Буквально неделю назад думал себе на ноутбуке поменять GRUB 2 на Syslinux или LILO, ибо GRUB жирный и тормозной, хоть и использую его с MBR.
     
  • 1.189, srgazh (?), 21:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это фича
     
  • 1.232, pin (??), 13:54, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Выстрел в пятку засчитан.
     
  • 1.281, Michael Shigorin (ok), 08:08, 03/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Если у кого-то шляпа не загрузится после штатных обновлений -- это сюда: http://bugzilla.redhat.com/show_bug.cgi?id=1861977 (раз уж попалась ссылка на глаза).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру