The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

16.03.2015 09:59  В Oracle Linux выявлены серьёзные проблемы в реализации UEFI Secure Boot

Компания Oracle объявила о реализации в выпуске дистрибутива Oracle Linux 7.1 возможности верификации процесса загрузки на системах с UEFI Secure Boot. Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, активно занимающийся обеспечением загрузки Linux на системах с UEFI, выступил с критикой поддержки UEFI Secure Boot в Oracle Linux и указал на серьёзные проблемы с безопасностью, позволяющие выполнить произвольный код, не заверенный цифровой подписью.

Механизм UEFI Secure Boot позволяет гарантировать использование на этапе загрузки системы только оригинальных компонентов, заверенных цифровой подписью. В RHEL и Oracle Linux, при использовании UEFI Secure Boot, обеспечивается проверка загрузчика, ядра, загружаемых ядром драйверов и модулей ядра. Для обеспечения защиты от выполнения непроверенных компонентов, при загрузке с верификацией в ядре необходимо отключить ряд возможностей, таких как вызов kexec и интерфейсы, позволяющие вносить изменения в память ядра из пространства пользователя. В частности, kexec предоставляет возможность загрузки нового ядра из уже запущенного ядра Linux, что может быть использовано для обхода UEFI Secure Boot путём замены проверенного ядра на другое ядро, не снабжённое цифровой подписью.

Как известно, в Oracle Linux кроме клона ядра из состава RHEL также поставляется собственный вариант ядра Unbreakable Enterprise Kernel, поддерживаемый силами Oracle. Проблема состоит в том, что цифровые подписи для обоих ядер созданы с использованием одного ключа. Если в клоне ядра RHEL при загрузке в UEFI Secure Boot производится отключение опасных компонентов ядра, то в ядре Unbreakable Enterprise Kernel остаётся активен kexec, что сводит на нет всю цепочку доверия. Даже при использовании ядра RHEL в Oracle Linux, атакующий имеет возможность загрузить имеющее корректную цифровую подпись ядро Unbreakable Enterprise Kernel, а затем через kexec запустить модифицированный вариант ядра с бэкдором.

Интересно также то, что ключ для создания цифровой подписи для Oracle Linux назван "oracle301", при том, что число 301 выбрано так как ключ в RHEL тоже оканчивается на 301, но без учёта того, что 301 не имеет принципиального значения и является лишь порядковым номером сгенерированного в Red Hat ключа.

  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
  2. OpenNews: Доступен дистрибутив Oracle Linux 7.1
  3. OpenNews: Для Linux представлена система верификации исполняемых файлов по цифровым подписям
  4. OpenNews: Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot
  5. OpenNews: Проблемы на пути реализации режима безопасной загрузки UEFI в Linux
  6. OpenNews: Red Hat и Canonical опубликовали рекомендации по реализации режима безопасной загрузки в UEFI
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, uefi
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 10:17, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +25 +/
    На третий день Зоркий Глаз заметил что у сарая нет стены...
     
     
  • 2.31, Аноним (-), 13:56, 16/03/2015 [^] [ответить]    [к модератору]
  • +4 +/
    ...только три стены
     
  • 1.2, Аноним (-), 10:23, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +14 +/
    > Интересно также то, что ключ для создания цифровой подписи для Oracle Linux назван "oracle301", при том, что число 301 выбрано так как ключ в RHEL тоже оканчивается на 301, но без учёта того, что 301 не имеет принципиального значения и является лишь порядковым номером сгенерированного в Red Hat ключа.

    Вывод отсюда какой? Правильно, Oracle копипастит из RHEL, даже не понимая как это работает. Еще и суппорт какой-то оказывать пытаются.

     
     
  • 2.39, koblin (ok), 16:42, 16/03/2015 [^] [ответить]    [к модератору]
  • +6 +/
    возможно у них тупо есть подписка на суппорт от RH и они форвардят обращения туда от своего имени)
     
  • 2.109, Anonim (??), 20:42, 18/03/2015 [^] [ответить]    [к модератору]
  • +1 +/
    > Вывод отсюда какой? Правильно, Oracle копипастит из RHEL, даже не понимая как это работает. Еще и суппорт какой-то оказывать пытаются.

    Подождём и посмотрим как поступят ВНИИНС со своим МСВС?

     
     
  • 3.117, Умный (?), 18:00, 19/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Идеально!
     
  • 3.118, Аноим (?), 14:46, 20/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Лет через 15 узнаем, раньше врядли
     
  • 1.3, Аноним (-), 10:25, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Предлагаю переименовать ключ oracle301 в oracle42
     
  • 1.4, Нанобот (ok), 10:27, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    что-то мне кажется, что имеется намного больше способов обхода UEFI Secure Boot, просто вопрос слабо изучен
     
     
  • 2.19, Аноним (-), 12:45, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Ну грубо говоря если ты можешь переписать uefi то и Secure Boot обойти не проблема.
     
  • 1.5, Аноним (-), 10:31, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +24 +/
    >UEFI Secure Boot

    Оно не для безопасности создано. А для того чтобы запретить пользователям устанавливать ОС отличные от микрософтовских.

     
     
  • 2.8, ZiNk (ok), 11:19, 16/03/2015 [^] [ответить]     [к модератору]  
  • –6 +/
    Однако если контроль над ключами в руках у пользователя - то это хорошая, годная... весь текст скрыт [показать]
     
     
  • 3.11, Аноним (-), 11:39, 16/03/2015 [^] [ответить]     [к модератору]  
  • +5 +/
    Единственная проблема Boot Guard от интеля подразумевает однократное вшивание х... весь текст скрыт [показать]
     
     
  • 4.15, Crazy Alex (ok), 12:21, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Ну так Boot Guard - это другая технология, при чём здесь он?
     
     
  • 5.28, Канада_тян (?), 13:41, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > Ну так Boot Guard - это другая технология, при чём здесь он?

    Вот именно.

     
  • 5.69, Аноним (-), 02:25, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    А при том что 1 Без него секурбут не полный Ведь недруг может потенциально пер... весь текст скрыт [показать]
     
     
  • 6.78, Crazy Alex (ok), 03:47, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Угу Только в отличие от UEFI, худо-бедно ставшего стандартом, Secure Boot - это... весь текст скрыт [показать]
     
     
  • 7.87, Аноним (-), 13:51, 17/03/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    А UEFI - такой же стандарт как ACPI В смысле, реализуется какими-то левыми блоб... весь текст скрыт [показать]
     
  • 7.88, Аноним (-), 13:52, 17/03/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > На приличныйх ноутах тоже процессор меняется - так что
    > в худшем случае обойдётся в стоимость нового камня.

    Насколько я понимаю, шьется в чипсет. Удачи тебе в перепайке BGA...

     
  • 4.53, Аноним (-), 19:57, 16/03/2015 [^] [ответить]    [к модератору]  
  • –2 +/
    ну на счёт "опенсорсное фирмваре где все заведомо честно" ты конечно чуток переборщил..


     
     
  • 5.70, Аноним (-), 02:26, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Пока-что авторов coreboot, u-boot и прочая как-то не ловили на вещах типа AWARD_... весь текст скрыт [показать]
     
     
  • 6.80, Аноним (-), 08:19, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    В пьянстве замечен не был, но по утрам жадно пил холодную воду такого беспреде... весь текст скрыт [показать]
     
     
  • 7.82, ZiNk (ok), 10:07, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Но это уже запилить и оставить ненайденным намного сложнее, чем в открытую запих... весь текст скрыт [показать]
     
     
  • 8.86, Аноним (-), 13:47, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    судя по результатам где-то новость на опеннете проскакивала, не могу найти ва-... весь текст скрыт [показать]
     
     
  • 9.90, Аноним (-), 13:57, 17/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > судя по результатам (где-то новость на опеннете проскакивала, не могу найти)
    > ва-аще не сложно

    Это вы не про то как в линухе при попытке коммита бэкдора он был запален? :)

     
     
  • 10.94, Аноним (-), 14:18, 17/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > Это вы не про то как в линухе при попытке коммита бэкдора
    > он был запален? :)

    не, не оно

     
  • 7.89, Аноним (-), 13:56, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Более того - проприерасы себя уже дискредитировали и на честное слово им верить ... весь текст скрыт [показать]
     
     
  • 8.103, Аноним (-), 09:33, 18/03/2015 [^] [ответить]     [к модератору]  
  • +/
    ну, а что будет анонимному патчеру аась и кстати, что было автору хартблида а... весь текст скрыт [показать]
     
     
  • 9.110, Аноним (-), 20:48, 18/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Потеря доверия и как минимум нужда убить заново кучу времени годы на выращи... весь текст скрыт [показать]
     
     
  • 10.115, Аноним (-), 12:10, 19/03/2015 [^] [ответить]     [к модератору]  
  • +/
    ты вообще читал о чём я говорил а я думаю он мог на ней уже озолотиться - и ко... весь текст скрыт [показать]
     
  • 4.122, sur pri (?), 03:29, 24/03/2015 [^] [ответить]     [к модератору]  
  • +/
    А что ещё их мутный блоб может делать с ключами Он должен проверять подпись заг... весь текст скрыт [показать]
     
  • 3.17, jOKer (ok), 12:40, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Хы Да кто же им, зверькам то есть, позволит что-то там контролировать и тем бо... весь текст скрыт [показать]
     
     
  • 4.18, ZiNk (ok), 12:44, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Стрелки рискуют лишиться пачек бабла Сделает интель - АМБ начнёт гарцевать свои... весь текст скрыт [показать]
     
     
  • 5.22, Аноним (-), 12:54, 16/03/2015 [^] [ответить]    [к модератору]  
  • –3 +/
    А если они договорятся так не делать, а? Или "АМБ" тупо подсчитает, что если интел залочит, то и им выгоднее будет все-таки залочить, чем разлочивать?
     
     
  • 6.54, Аноним (-), 20:01, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Легко Это бизнес и первое место это интересы бизнеса Клиент всего лишь на втор... весь текст скрыт [показать]
     
  • 2.29, Канада_тян (?), 13:43, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    UEFI позволяет использовать свою собственную связку ключей, чтобы запретить уста... весь текст скрыт [показать]
     
     
  • 3.32, ZiNk (ok), 14:24, 16/03/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Ещё раз - UEFI ничем таким не занимается в принципе Етим занимается SecureBoot,... весь текст скрыт [показать]
     
     
  • 4.33, Канада_тян (?), 14:49, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Да, вы правы, просто UEFI не живёт без Secure Boot, как мне казалось.
     
     
  • 5.35, ZiNk (ok), 15:20, 16/03/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Живёт и ещё как Это наоборот - SecureBoot живёт только на UEFI Производителям ... весь текст скрыт [показать]
     
     
  • 6.91, Аноним (-), 13:58, 17/03/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну так интель дает понять что это они рулят железкой, а не ты Зато очень удобно... весь текст скрыт [показать]
     
  • 3.71, Аноним (-), 02:31, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Точнее, для мутного проприетарного блоба фирмвари номинально декларируется что о... весь текст скрыт [показать]
     
     ....нить скрыта, показать (30)

  • 1.6, Омский линуксоид (ok), 10:46, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Маркетинг решает. Все забудут зачем UEFI. И что она плохо работает, тоже забудут.
     
     
  • 2.27, Аноним (-), 13:39, 16/03/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    Не путайте UEFI и Secure Boot. Это НЕ одно и тоже.
     
     
  • 3.48, Аноним (-), 19:14, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Вот и я о том же не путайте. UEFI работает плохо.
    А с secure boot сложнее получить загрузочный вирус.
     
     
  • 4.57, Гость3 (?), 20:03, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    всё это смахивает на эволюционную борьбу за пользователя между бэкдорами произво... весь текст скрыт [показать]
     
     
  • 5.111, Аноним (-), 20:51, 18/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > Кто победит интересно?

    Победила "Дружба" - пробурчал дровосек. В смысле, вся эта живность будет иметь юзерье, а воевать друг с другом им в общем то и не особо надо.

     
  • 4.72, Аноним (-), 02:32, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Если супермикро внаглую шьет бэкдор прямо в фирмварь BMC - удачи вам в вашей защ... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 11:05, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    железо с uefi нужно было байкотировать, а теперь приходится терпеть и тратить время впустую
     
     
  • 2.9, KT315 (ok), 11:28, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Правильное железо дает возможность эту гнойную заразу выключить А не правильное... весь текст скрыт [показать]
     
     
  • 3.12, Аноним (-), 11:42, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Простите, но в поздних интеловских процах и чипсетах есть countermeasure который... весь текст скрыт [показать]
     
     
  • 4.16, Crazy Alex (ok), 12:23, 16/03/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Как-то я слабо представляю вшитый ключ в процессорах, купленных отдельно в магазине, а не впаянных в мать, так что при желании эта проблема решается тривиально.
     
     
  • 5.24, jOKer (ok), 12:57, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    А зря Потому что именно это интеловцы и тащщють на рынок сейчас Вот полюбуйтес... весь текст скрыт [показать]
     
     
  • 6.34, Crazy Alex (ok), 14:58, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Ну так я ж написал дальше - Купленных отдельно в магазине Какой именно ключ т... весь текст скрыт [показать]
     
  • 5.73, Аноним (-), 02:33, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Оно IIRC вшивается в чипсет А так - купил ты ноут А он залочен не на тебя и тв... весь текст скрыт [показать]
     
     
  • 6.77, Crazy Alex (ok), 03:37, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Насколько я читал - вшивается в CPU И да, в приличных ноутбуках хотя ноутбук, ... весь текст скрыт [показать]
     
     
  • 7.92, Аноним (-), 14:02, 17/03/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    А вроде coreboot овцы говорили что фьюзы в чипсете Да я не сомневаюсь что инте... весь текст скрыт [показать]
     
  • 2.20, ZiNk (ok), 12:47, 16/03/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Ещё один путающий UEFI c SecureBoot-ом Прицепить замок не дающий сменить прошив... весь текст скрыт [показать]
     
     
  • 3.66, AlexAT (ok), 23:14, 16/03/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    Лично я давно путаю UEFI с говном. Достаточно оправданно.
     
  • 2.26, Аноним (-), 13:25, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    байкотировать - это на байках, что-ли Откуда у вас байки, нестирано-сальножел... весь текст скрыт [показать]
     
     
  • 3.30, Zomby (?), 13:43, 16/03/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Байкотировать! А также Килобайкотировать, Мегабайкотировать и Гигабайкотировать!
     
     
  • 4.56, Аноним (-), 20:03, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > Байкотировать! А также Килобайкотировать, Мегабайкотировать и Гигабайкотировать!

    Ну и сидите с лучиной, кому хуже-то?!

     
     ....нить скрыта, показать (13)

  • 1.10, Анонимус сапиенс (?), 11:29, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    http://www.youtube.com/watch?v=ths65a9LH6Y
     
  • 1.14, Аноним (-), 12:08, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А может ну его нафиг этот Secure Boot?
    Уже может пора понять, что на уровне доступа к железу надо реализовать безопасность?
     
     
  • 2.21, Аноним (-), 12:51, 16/03/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Естественно, помню крепили провода от мышек и клав замок на корпус Единственн... весь текст скрыт [показать]
     
  • 2.36, ZiNk (ok), 15:24, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    SecureBoot реализует защиту от замены ядра ОС и подмены её на липовый загрузчик ... весь текст скрыт [показать]
     
     
  • 3.49, Аноним (-), 19:15, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    перечисляйте дыры.
     
     
  • 4.74, Аноним (-), 02:37, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Проприетарь же Вон у супермикры нашелся инженерный логин в фирмвари BMC Всего ... весь текст скрыт [показать]
     
     
  • 5.100, Аноним (-), 22:44, 17/03/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    То есть по сути ответить нечего раз идет переход на какие-то странные утвержден... весь текст скрыт [показать]
     
     
  • 6.112, Аноним (-), 20:57, 18/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Вы просили перечислить Я привел два вопиющих бэкдора, реально существующих Чем... весь текст скрыт [показать]
     
  • 1.38, Аноним (-), 16:33, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кому надо такое - запретит запуск kdump через нужный kernel command line. И поставит запрет на изменение.
     
  • 1.40, ffirefox (?), 17:03, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Что-то отдает какой-то желтизной новость.
    В Linux всегда оставляли все ручки, для того чтобы настроить под конкретный случай. В чем проблема то? Кто-то не знает, где эта _возможность_ отключается? Тогда о какой безопасности может идти речь с таким админом? Будем как в винде ориентироваться только на домохозяек? Так они возьмут другой дистрибутив - более домохозяекфрендли (тот же минт, например). Но на сервере важнее иметь возможность сменить ядро без перезагрузки. Ораклу однозначно плюс, а UEFI пусть идет лесом, пока закрыт
     
     
  • 2.41, ZiNk (ok), 17:24, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Вопрос не в домохозяйках, а в том, что Оракл тырит код не врубаясь в то что копи... весь текст скрыт [показать]
     
     
  • 3.42, Аноним (-), 17:52, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Это у оракула бзик на "совместимости". Они даже настоящую версию ядра долго говорили старую, чтобы программы какие-то не сломались.
     
  • 1.43, дон Педро (?), 18:21, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как неожиданно... От оракла я такого не ожидал.
     
  • 1.44, Аноним (-), 18:42, 16/03/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    Новость-то ни о чем Еще спецы пытаются над Ораклом смеяться, типа копипастя... весь текст скрыт [показать]
     
     
  • 2.45, ZiNk (ok), 18:50, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Talk is cheap, show me the code Какой бы не был уровень этих сотрудников, резул... весь текст скрыт [показать]
     
     
  • 3.46, Аноним (-), 19:09, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    да? новость не о чем. kdump надо еще специально включить.

    Новость однозначно попытка шапки дискредитировать Oracle.

     
  • 2.50, Аноним (-), 19:17, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    уборщицы с высшим образованием...
     
     
  • 3.62, Анонимууус (?), 21:29, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    А у тебя специализация уборщик Возможно, что и там тебе фору дадут в некот... весь текст скрыт [показать]
     
  • 2.64, Аноним (-), 22:21, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Да, как комменты с опнета почитаешь - такое впечатление, что здесь самая кодерская косточка собирается. А на деле кунсткамера, маги пхп и пистона, гении верной расстановки переменных при сборке.
     
  • 2.97, arisu (ok), 20:07, 17/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > Поверьте, в такой компании
    > по определению не может быть сотрудников, чей уровень знаний ниже ваших.

    хорошо лизнул.

     
  • 1.47, Аноним (-), 19:11, 16/03/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Заменяем слово разработчик ядра - на сотрудник redhat и все становится на св... весь текст скрыт [показать]
     
     
  • 2.51, Аноним (-), 19:19, 16/03/2015 [^] [ответить]    [к модератору]  
  • +/
    То есть в Oracle Linux нет включенного kexec? А если есть это не позволяет обойти цепочку доверия? Вас так надо понимать?
     
     
  • 3.99, Аноним (-), 22:42, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Надо понимать - что если в руководстве написано - что если вам надо макс безопас... весь текст скрыт [показать]
     
     
  • 4.105, ZiNk (ok), 10:29, 18/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Надо понимать - что если в руководстве написано - что если вам надо макс безоп... весь текст скрыт [показать]
     
  • 3.125, sur pri (?), 04:19, 24/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > То есть в Oracle Linux нет включенного kexec? А если есть это
    > не позволяет обойти цепочку доверия? Вас так надо понимать?

    Нет. Не позволяет это обойти. Цепочку....

     
  • 2.52, Аноним (-), 19:31, 16/03/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Заменяем слово "разработчик ядра" - на "сотрудник redhat" и все становится на
    > свои места.

    Matthew Garrett уже лет пять как не сотрудник Red Hat.

     
     
  • 3.59, Аноним (-), 20:06, 16/03/2015 [^] [ответить]     [к модератору]  
  • +/
    С кем ты разговариваешь Эти тормоза за пределы своих уютненьких не выходят нико... весь текст скрыт [показать]
     
  • 3.98, Аноним (-), 22:40, 17/03/2015 [^] [ответить]    [к модератору]  
  • +/
    а гугл говорит что еще год назад был им.. что-то мне вам не верится.
     
     
  • 4.104, Andrey Mitrofanov (?), 09:55, 18/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > а гугл говорит что еще год назад был им

    Садись, двойка. Предыдущий оратор хоть гугли-фу не размахивал.

    Last day at Red Hat
    Nov. 9th, 2012
    http://mjg59.dreamwidth.org/19695.html

     
  • 1.67, vitalif (ok), 23:31, 16/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Оракл всё правильно делает - секьюрбут это вредная технология, и поддержка её если и должна быть, то чисто формальная, чтобы обеспечить загрузку при включённом секурбуте.

    А по мне - его вообще не нужно реализовывать, нужно отключать везде и всё.

     
     
  • 2.68, ZiNk (ok), 01:23, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Ну не смешите мои тапочки Оракл - бунтари против системы, ага, три раза В прод... весь текст скрыт [показать]
     
     
  • 3.75, Аноним (-), 02:38, 17/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > заглушка которая подписана ключом и запускает что угодно.

    Только оно следует неким правилам. И [I]автоматически и без спросу[/I] черти-что запускать не станет.

     
     
  • 4.83, ZiNk (ok), 10:20, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Оно загрузит груб, который загрузит любой кернел, который ему скажут, то есть пр... весь текст скрыт [показать]
     
     
  • 5.113, Аноним (-), 21:07, 18/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Вроде как если грузится секурный загрузчик то и тот должен проверять что грузит ... весь текст скрыт [показать]
     
  • 1.76, Andrey (??), 02:53, 17/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ваще понять не могу о чем идет речь.

    Не пойму - есть железки где нельзя отрубить UEFI??

    Даже в долбанном планшете от АЙСЕРА W700 на 8ке... в "BIOS" можно отрубить всё.
    Линукс спокойно ставиться. (но к сожалению пришлось перепрыгнуть обратно на винду, без вменяемой виртуальной клавы во всех местах - как то стремно работается.)

     
     
  • 2.84, ZiNk (ok), 10:24, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Если отрубить UEFI, то компьютер не загрузится Можно отключить Secure Boot или ... весь текст скрыт [показать]
     
     
  • 3.95, Xasd (ok), 15:40, 17/03/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    всё верно поэтому в железках и НЕ делают такой переключатель отключить UEFI ... весь текст скрыт [показать]
     
     
  • 4.107, Andrey (??), 16:25, 18/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Да, соглашусь, ступил, не так описал то о чем подумал :)
     
  • 4.120, Аноним (-), 14:30, 22/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Спасибо, посмеялся. :)
     
  • 1.79, Аноним (-), 07:30, 17/03/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Тут выше писали про то, что очень мала доля тех, кто перешивает BIOS 124 UEFI н... весь текст скрыт [показать]
     
     
  • 2.81, Нанобот (ok), 10:07, 17/03/2015 [^] [ответить]    [к модератору]  
  • –3 +/
    >трудности созданы искусственно со стороны производителей железа

    да-да, заговор злобных корпораций против белых и пушистых хомячков, мы в курсе

     
     
  • 3.85, Аноним (-), 11:00, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Вы так говорите, как будто эти проблемы _случайно_ возникли одновременно со всем... весь текст скрыт [показать]
     
     
  • 4.96, Xasd (ok), 15:46, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    эти проблемы созданы были не случайно но и не специально против corebootчиков ... весь текст скрыт [показать]
     
     
  • 5.101, Аноним (-), 05:57, 18/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Xasd, именно это я и имел в виду, когда уточнил, что "речь не идёт о чём-то вроде мирового заговора" и т.д.
     
  • 3.93, Аноним (-), 14:04, 17/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Не, ну что ты AWARD_SW случайно сам накодился в биосе И бэкдор у супермикры в ... весь текст скрыт [показать]
     
     
  • 4.102, Аноним (-), 08:30, 18/03/2015 [^] [ответить]    [к модератору]  
  • +/
    award_sw мог быть в дебаг секции. Но факт в том что многие производители забыли выключить дебаг :-)
    так что не надо искать сложности где простой прое.. б у индусов.
     
     
  • 5.106, Аноним (-), 15:30, 18/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Сноуден описал как такие "простые баги" появляются. Да, случайно все - дебаг забыли убрать, забыли послать клиента нафиг, когда он запрашивает в heartbeat-е слишком много данных и так далее...
     
  • 5.108, arisu (ok), 17:10, 18/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > award_sw мог быть в дебаг секции. Но факт в том что многие
    > производители забыли выключить дебаг :-)

    а мне какая разница?

     
  • 5.114, Аноним (-), 21:09, 18/03/2015 [^] [ответить]     [к модератору]  
  • +/
    А ты мог случайно упасть на кулак добрейшего гражданина Случайно И так пять ра... весь текст скрыт [показать]
     
     
  • 6.116, Аноним (-), 14:44, 19/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Бэкдор делается с умыслом а это про Ты даже не знаешь насколько ты прав ... весь текст скрыт [показать]
     
     
  • 7.119, Vkni (ok), 18:25, 20/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > Бэкдор делается с умыслом. а это про.. ...

    Был там умысел или нет, узнать невозможно. Поэтому чётко утверждать, что продолб странно.

     
     
  • 8.121, Аноним (-), 08:56, 23/03/2015 [^] [ответить]    [к модератору]  
  • +/
    видя код биосов и где находится данная опция - можно.
     
     
  • 9.124, Аноним (-), 03:55, 24/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Код BIOSов конечно лютейшее г-но, ОДНАКО без осмысленного желания того или иного... весь текст скрыт [показать]
     
     
  • 10.126, Аноним (-), 17:05, 26/03/2015 [^] [ответить]    [к модератору]  
  • +/
    девелопер кода - который использовался при тестировании паролей
     
  • 7.123, Аноним (-), 03:53, 24/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Не представляю себе как можно накодить инженерный пароль без умысла Нечаянно та... весь текст скрыт [показать]
     
     
  • 8.127, Аноним (-), 17:13, 26/03/2015 [^] [ответить]     [к модератору]  
  • +/
    кодится дебаговая секция для своих нужд - потом кто-то забывает убрать -DDEBUG и... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor