Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Первый выпуск Libreboot, после перехода под крыло проекта GNU, opennews (ok), 19-Авг-16, (0) [смотреть все] Мало, количество поддерживаемого оборудования при этом ещё х з как там с качес, A.Stahl (ok), 11:40 , 19-Авг-16, (1) +6 // system76 или как там, вроде выпускает ноутбуки с убунтой Может бы какую-то пети, Аноним (-), 13:25 , 19-Авг-16, (16) +3 Удачи с количеством оборудования на x86, где ME неотключаемый Что нагибает весь, Аноним (-), 13:30 , 19-Авг-16, (18) +2 // На это есть надежда , dimqua (ok), 13:32 , 19-Авг-16, (19) +1 // http china-review com ua tags Rockchip RK3288 это , Аноним (-), 13:56 , 19-Авг-16, (27) Так то ж аллигаторы W ARM Там производителей море - можно найти не очень уродск, Аноним (-), 03:31 , 21-Авг-16, (67) Хорошо бы написать - что же сделано ими а что сперто с CoreBoot Боюсь тогда спис, Аноним (-), 11:48 , 19-Авг-16, (2) –4 // Уже добавление приставки GNU значительно увеличивает шанс сотрудничества с произ, A.Stahl (ok), 11:51 , 19-Авг-16, (3) +5 // Когда человек берет чужие исправления и говорит что он сделал их - то это сперто, Аноним (-), 13:35 , 19-Авг-16, (22) +1 // Ответвление Форк Так понятно , A.Stahl (ok), 13:55 , 19-Авг-16, (26) +4 не понятно Форк пишет свои достижения, а не чужие А эти пишут о чужих достижен, Аноним (-), 15:54 , 19-Авг-16, (39) –3 Где кто пишет о чужих достижениях как о своих Не понятно Изъяснитесь понятнее , A.Stahl (ok), 16:03 , 19-Авг-16, (41) +5 Так перейдите на более менее чистый русский и будет понятно всем, а не иностранц, АмЫнЪ (?), 18:29 , 19-Авг-16, (45) –7 более-менеекое-как, эннон (?), 11:21 , 20-Авг-16, (58) +2 Ребят, я простой пользователь, можете помочь и прояснить ситуацию Есть такая ста, Ubuntu User (?), 11:55 , 19-Авг-16, (4) +16 // По поводу 3 пункта, если ты всё зашифруешь -- как система грузиться будет Вынос, lavros (?), 12:02 , 19-Авг-16, (5) +1 // Я не знаю, но в статье говорится что это возможно и приводится сложная инструкци, Ubuntu User (?), 12:08 , 19-Авг-16, (6) +1 // Ты перескажи своими словами Здесь по линкам никто не ходит , rob pike (?), 12:11 , 19-Авг-16, (7) +1 Там вот такое Установка Ubuntu с шифрованием всего диска с помощью LUKS и LVM , Ubuntu User (?), 12:14 , 19-Авг-16, (8) +1 Может, тогда, стоило этот вопрос задать на хабре автору статьи , lavros (?), 12:31 , 19-Авг-16, (9) SecureBoot для линукса не нужен и подписи от мс тоже , можешь не заморачиваться, paulus (ok), 12:40 , 19-Авг-16, (11) что значит не нужен в том виде, в котором предоставляют вендоры, может, и да, н, MassaPash (?), 13:33 , 19-Авг-16, (21) +1 Параноик прекрасно понимает что для того чтобы упереть пароль не нужно возится с, Ivan_83 (ok), 20:30 , 19-Авг-16, (49) Это для того, чтобы подписать содержимое boot, а не зашифровать его В boot хр, Аноним (-), 13:17 , 19-Авг-16, (14) +1 Речь о несколько разных вещах Grub2 умеет LUKS, т е может спрашивать пароль,, ABATAPA (ok), 13:44 , 19-Авг-16, (23) что значить подменить запустить свою ОС а данные дальше кто будет расшифровы, Sw00p aka Jerom (?), 00:30 , 20-Авг-16, (53) 1 Для чего не важно Для просто загрузки - да, не важно Работает он как и было, abi (?), 12:36 , 19-Авг-16, (10) +1 1 Не важно Когда начинает загружаться Ubuntu, Фаза бэкдора от MS SecureBoot , freehck (ok), 13:29 , 19-Авг-16, (17) // Но вот Intel Management Engine и AMD Platform Security Processor не миновать, а , ABATAPA (ok), 13:56 , 19-Авг-16, (28) // На хабре вроде есть статья с попытками отключения Боремся с дистанционным контр, Ubuntu User (?), 14:22 , 19-Авг-16, (30) +1 Там полумеры и костыли TL DR на железе свежее 2010 года выпуска попытка СОВСЕ М, Аноним (-), 03:40 , 21-Авг-16, (68) Зависит от того, что понимается под словом шифрование Если только некоторое п, Аноним (-), 15:29 , 19-Авг-16, (36) +1 // Спасибо за подробный рассказ Есть еще пара вопросов 1 А как именно плохой паре, Ubuntu User (?), 15:54 , 19-Авг-16, (40)   // Если boot не зашифрован, то достаточно загрузиться с внешнего носителя Или выта, Аноним (-), 17:14 , 19-Авг-16, (43) +1   Спасибо, очень интересно , Ubuntu User (?), 18:02 , 19-Авг-16, (44)   привелегиями для записи в boot Либо вытащить диск см выше вот из-за таких с, Sw00p aka Jerom (?), 00:38 , 20-Авг-16, (54)   Проблемы secureboot в том, что 1 нужно подписать все участки кода, отвечающие з, Аноним (-), 12:43 , 20-Авг-16, (60)   Насколько я знаю, последние Ubuntu полноценно работают с Secure Boot Именно пол, sage (??), 18:30 , 19-Авг-16, (46) // зачем вы каждый день пишите собственные модули для ядра или ставите ПО с кер, Sw00p aka Jerom (?), 00:42 , 20-Авг-16, (55) // У меня есть несколько сторонних модулей ядра, которых нет в репозитории, но у ме, sage (??), 18:34 , 20-Авг-16, (62) А какое именно железо должен поддерживать загрузчик тот же LibreBoot Только м, Ubuntu User (?), 12:42 , 19-Авг-16, (12) +1 // https libreboot org docs hcl Очень ограничено, Аноним (-), 13:16 , 19-Авг-16, (13) // Офигеть 3 материнки для десктопа 3 из тысячи Это выходит надо специально подб, Ubuntu User (?), 14:24 , 19-Авг-16, (31) // Врядли, потому что еще Пушкин высказался code Паситесь, мирные народы Вас не ра, Аноним (-), 08:35 , 21-Авг-16, (76) +1 Кстати, а как там свободные ноутбуки Собирали же деньги и не один проект был, Аноним (-), 13:20 , 19-Авг-16, (15) // Разве собирали Я помню какой-то умелец в Лондоне Thinkpad-ы чистил-пересобирал,, freehck (ok), 13:32 , 19-Авг-16, (20) // На kickstarter же И novena, и модульки на ARM А перепрошитые thinkpad и так пр, Аноним (-), 13:52 , 19-Авг-16, (25) // Старые thinkpad ы - это какие X220 Новые-то не алё , Azaza (?), 03:11 , 23-Авг-16, (81) x60, x200, t400, Аноним (-), 11:45 , 23-Авг-16, (83) https www kosagi com w index php title Novena_Main_Page, rob pike (?), 13:49 , 19-Авг-16, (24) А что скажите про Olimex Там же нашлось OpenHardware https www olimex com Pro, Ubuntu User (?), 14:36 , 19-Авг-16, (32) // Интересные ребята, самому бы хотелось о них узнать больше Может кто напишет им , Аноним (-), 15:14 , 19-Авг-16, (35) // Этот проект пока в процессе разработки Olimex компания не новая и если они гово, Аноним (-), 06:09 , 21-Авг-16, (70) +1 Моар подробностей, хочется больше сведений, как получить Кстати, они не думали , Аноним (-), 13:11 , 22-Авг-16, (79) https www crowdsupply com sutajio-kosagi novena, Аноним (-), 15:20 , 20-Авг-16, (61) +2 Наверное, Столлман бы хотел вернуть времена лисп-машин, Аноним (-), 14:01 , 19-Авг-16, (29) +2 // С открытым кодом , Аноним (-), 09:28 , 20-Авг-16, (57) Я впадаю в уныние от поддерживаемого железа Какие есть преграды добавить все ма, Аноним (-), 14:41 , 19-Авг-16, (33) // Никаких, добавь , beresk_let (?), 15:12 , 19-Авг-16, (34) +1 // Если это такая рутинная работа, то почему разработчики берутся за какое-то старь, Аноним (-), 15:45 , 19-Авг-16, (37) –1 // За что могут - за то и берутся Вот так просто и банально Старое железо попроще, Аноним (-), 06:15 , 21-Авг-16, (71) Если это просто, тогда почему разработчики берутся за всякое старье , Аноним (-), 15:49 , 19-Авг-16, (38) +1 // Потому что им так хочется Тебе хочется другого 8212 ты и займись , beresk_let (?), 18:44 , 19-Авг-16, (47) Intel Management Engine и AMD Platform Security Processor, 1 (??), 11:36 , 20-Авг-16, (59) +1 Проблема даже не в ограниченной поддержке оборудования, вы посмотрите как его ус, Аноним (-), 19:47 , 19-Авг-16, (48) // На thinkpad x60 например можно не открывая, просто программно прошить , Аноним (-), 23:46 , 19-Авг-16, (51) Да, это простите уже верх пердольства Впрочем, если есть лишние евро то можно к, Аноним (-), 09:04 , 20-Авг-16, (56) –1 // Для меня это пройденный шаг Сейчас я уже сам собрал сублиматор-пресс для лапши , Аноним (-), 21:22 , 20-Авг-16, (64) +3 // Этот пост просто пропитан завистью проприетарщика к тем кто смеет не ходить стро, Аноним (-), 06:19 , 21-Авг-16, (73) –1 Единственный выход на видео - это VGA Роскошно Ты подкопи ещё лет 10, когда со, Аноним (-), 21:33 , 20-Авг-16, (65) // Что-что Гришь, в слишком длинной цепи - можно запутаться , Аноним (-), 06:17 , 21-Авг-16, (72) +1 В thinkpad x200 ultrabase есть displayport например , Аноним (-), 12:56 , 21-Авг-16, (77) На типа поддерживаемой древней плате Intel D510MO, если внимательно прочитать , trader2k4 (ok), 07:56 , 23-Авг-16, (82) Если кому интересно, то с помощью Ардуино вполне можно прошить , Аноним (-), 00:01 , 20-Авг-16, (52) // Прошить SPI флеху можно любым копеечным адаптером на FTDI232RL или тем паче 2232, Аноним (-), 08:32 , 21-Авг-16, (75) +1 А GNU бреет у себя под крылом А моет Мне так чуется, что нет GNU, не подымай , Аноним (-), 21:00 , 20-Авг-16, (63) // Если тебе побрили крыло - ты скорее всего попал в ощип , Аноним (-), 06:20 , 21-Авг-16, (74) +1 Эх, никто не сказал о том, что часто производитель материнской платы в BIOS огра, Arbichev (ok), 18:11 , 21-Авг-16, (78) // это на другом уровне исполняется чем Libreboot coreboot инициализируется проц и , Аноним (-), 21:10 , 22-Авг-16, (80) 1,2,4,12,15,29,33,48,52,63,78

Сообщения

[Сортировка по времени | RSS]

	40. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."	+/–
	Сообщение от Ubuntu User (?), 19-Авг-16, 15:54
	Спасибо за подробный рассказ. Есть еще пара вопросов. 1. А как именно плохой парень подменит загрузочные программы? Что для этого надо? Если поставить пароль на BIOS/UEFI - он сможет это сделать? Или ему не надо даже входить туда? До какой стадии загрузки вообще надо дойти, чтобы подменить загрузчик? Я слышал есть еще какая-то настройка паролем перед GRUB, пока не введешь пароль - не покажется окно выбора ОС. Или я щас полный бред сказал? :) 2. LibreBoot скомпилить сам не смогу, но почему существует всего 3 материнки для десктопа, для которых он поддерживается? В чем там серьезный затык?
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."	+1 +/–
	Сообщение от Аноним (-), 19-Авг-16, 17:14
	> Спасибо за подробный рассказ. Есть еще пара вопросов. > 1. А как именно плохой парень подменит загрузочные программы? Что для этого > надо? Если /boot не зашифрован, то достаточно загрузиться с внешнего носителя. Или вытащить жёсткий диск, поправить программы, а потом вернуть его обратно. > Если поставить пароль на BIOS/UEFI - он сможет это сделать? Тогда биос спросит пароль при попытке зайти в настройки и поменять загрузочное устройство. Но остаётся вариант с записью на диск с другого компьютера или изменение загрузочных программ в тот момент, когда компьютер уже загружен (например, при помощи какой-нибудь сетевой атаки или приёмов социальной инженерии). > Или ему не надо даже входить туда? До какой стадии загрузки > вообще надо дойти, чтобы подменить загрузчик? До любой стадии, позволяющей выполнить произвольный код с достаточными привелегиями для записи в /boot. Либо вытащить диск (см. выше). > Я слышал есть еще какая-то > настройка паролем перед GRUB, пока не введешь пароль - не покажется > окно выбора ОС. Или я щас полный бред сказал? :) Есть, она так и называется — password. С её помощью можно заблокировать часть пунктов меню grub и/или запретить редактировать настройки. > 2. LibreBoot скомпилить сам не смогу, но почему существует всего 3 материнки > для десктопа, для которых он поддерживается? В чем там серьезный затык? (тут я немного привру, чтобы упростить, но при этом постараюсь сохранить общий смысл) В том, что во время сборки coreboot/libreboot нужно указать режимы работы контроллера оперативной памяти, тип процессора, чипсет, размер флеш-микросхемы и ещё несколько (чуть менее важных) параметров. Изменение любой из этих настроек требует пересборки. Бинарники, лежащие в релизных версиях libreboot, протестированы на соответствующих платформах, для них выяснены все эти параметры, и они не меняются от ревизии к ревизии. Во время подбора/тестирования этих параметров будут возникать проблемы, приводящие к невозможности проинициализировать платформу до конца. Потребуется специальное оборудование — либо ещё один компьютер, подключенный к UART, либо отладочный EHCI-донгл, подключенный в первый (а надо ещё определить, какой же из них первый) USB-порт. Резюмируя; нельзя утверждать, что просто установка libreboot приведёт к защите платформы от несанкционированной загрузки. Существует риск получения ключей от /boot из уже загруженной системы (злоумышленник может, получив рута, считать флеш командой flashrom -r; этого можно избежать вводом ключа от /boot при каждой загрузке) и подмены libreboot (можно зашить специальный fdt-дескриптор, запрещающий дальнейшую запись во флеш, либо установить аппаратный переключатель на ногу !WP микросхемы). SecureBoot подвержен тем же проблемам, но между различными платформами различаются способы хранения ключей (идеальный случай, когда ключи хранятся в TPM, запись в который блокируется перед запуском загрузчика, но такого я ещё не встречал) и процедуры их проверки. Получается security through obscurity: на некоторых платформах SecureBoot отключается изменением значения всего одной переменной в nvram; из Windows это можно сделать используя документированные вызовы API.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."	+/–
	Сообщение от Ubuntu User (?), 19-Авг-16, 18:02
	Спасибо, очень интересно!
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."	+/–
	Сообщение от Sw00p aka Jerom (?), 20-Авг-16, 00:38
	>>До любой стадии, позволяющей выполнить произвольный код с достаточными привелегиями для записи в /boot. Либо вытащить диск (см. выше). вот из-за таких ситуаций и придумали механизм проверки целостности бут загрузчика (secureboot), и не нужно никакое шифрование его.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	60. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."	+/–
	Сообщение от Аноним (-), 20-Авг-16, 12:43
	> вот из-за таких ситуаций и придумали механизм проверки целостности бут загрузчика (secureboot), и не нужно никакое шифрование его. Проблемы secureboot в том, что: 1. нужно подписать все участки кода, отвечающие за загрузку вплоть до того момента, когда расшифровываются данные (это по крайней мере сам загрузчик, ядро и initrd/initramfs); 2. secureboot можно выключить, а пользователь не будет при каждой загрузке проверять, не выключен ли он. Если #1 в Windows выполним относительно легко (загрузочные программы почти никогда не меняются, хорошо протестированы и подписаны ключами Microsoft), то с Линуксами всё значительно сложнее — либо поддерживай свою PKI, самостоятельно подписывай все бинарники (сложность в загрузке своего ключа в bios/tpm и подписывании на другом компьютере, чтобы ключ не утёк), либо ограничиться в выборе и остановиться на тех дистрибутивах, где уже всё подписали. Чтобы secureboot был полезен, нужно не только соблюсти все эти правила, но ещё и обеспечить проверку целостности остальной системы (корневого раздела). Ведь если он не будет зашифрован (или же шифрование не будет включать в себя проверку целостности), то злоумышленник сможет обеспечить исполнение своего кода уже после того, как отработали загрузочные программы. #2 можно было бы решить, принудительно останавливая загрузку, когда Secure Boot выключен. Так было сделано на первых Chromebook — режим разработчика активировался аппаратным переключателем; это приводило к появлению сообщения вроде "внимание! ты разработчик! нажми такую-то кнопку для продолжения загрузки или верни переключатель обратно".
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема