:

Szerző: Gálffy Csaba

2012. december 3. 14:50

Már nem akadály a Secure Boot a Linuxnak

Elkészült a Shim bootloader nyilvános változata, amely már képes biztonságos módon átvenni az indítási folyamatot bekapcsolt Secure Bootot tartalmazó UEFI-től is.

A szabad szoftveres közösséget egy időre megoldhatatlan probléma elé állította a Microsoft Secure Boot technológiája. A bekapcsolt biztonsági funkció esetén ugyanis az UEFI csak a hiteles aláírással rendelkező bootloadernek (rendszerbetöltő szoftver) adja át az irányítást, így az operációs rendszer és az UEFI közé nem ékelődhet más alkalmazás. A megközelítés így kizárja, hogy bekapcsolt Secure Boottal rendelkező gépre valaki egyéb, a Windowstól eltérő operációs rendszert telepítsen, ami nyilván kizárja a különböző Linux-disztribúciókat is a körből.

A megoldás (a Secure Boot kiiktatása mellett) eddig az volt, hogy a disztribúciókat fejlesztő cégek külön-külön felvették a Microsofttal a kapcsolatot és aláíratták a bootloadert - ez azonban nem ment épp zökkenőmentesen. A hosszabb távú megoldást Matt Garrett Shim nevű bootloadere jelentheti, amely rendelkezik Microsoft aláírással, képes átvenni az indítási folyamatot az UEFI-től és átadni azt például a linuxos telepítőlemeznek.

A rendszer működéséhez a disztribúció fejlesztőjének alá kell írnia saját betöltő alkalmazását és a kulcsot a médiumon mellékelni. A Shim a felhasználót fogja megkérni, hogy lokalizálja és töltse be a kulcsot az induláshoz - így a felhasználó explicit, informált beleegyezése megkerülhetetlen. Erre a lépésre azért van szükség, mert másképp az aláírt Shim felhasználható lenne malware betöltésére is, ami pontosan a Secure Boot filozófiájával menne szembe és a kulcs azonnali visszavonását eredményezné.

Nem csak a Microsoft írhatja alá

Az aláírási folyamatnak a Microsoft egyébként nem elengedhetetlen eleme, az UEFI által bevett betöltő alkalmazás aláírásához más is létrehozhat infrastruktúrát. A Verisigntól származó rendszer azonban nem filléres mulatság, a hitelesítésben utazó cég a Linux Foundationtől több millió dollárt kért és hasonló költségei lennének egy teljesen független aláírási mechanizmus implementálásának is. Az UEFI Secure Boot és a Linux viszonyáról érdemes James Bottomley, a Linux Foundation igazgatójának prezentációját átlapozni.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A Matt Garrett által végrehajtott folyamathoz nélkülözhetetlen a Silverlight, az itt részletezett lépések közül a kilencedikhez elengedhetetlen a Microsoft böngészőpluginja. Ez implicite Windows futtatását jelenti, bár Matt szerint elképzelhető, hogy Wine-on futtatott Internet Explorer is elegendő lehet. A teljes folyamat egyébként 99 dollárba és a jegyzői hitelesítés helyi illetékébe kerül.

A Shim 0.2-es verziója letölthető aláírt bináris formában és forráskódként is a fejlesztő oldaláról.

Október 13-án 6 alkalmas, 18 órás CI/CD alapozó képzést indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

roszkoszmosz

10

Saját Starlink-riválist indít Oroszország

2025. szeptember 17. 13:43

Az első indítások idén év végén jöhetnek, 2035-re valósulhat meg a teljes, országos lefedettség, beleértve az Észak-sarkvidéket.