С безопасной отключенной начальной загрузкой, там долгосрочная уязвимость к вредоносному коду (на 14,10 и 15.04/победах установках мультиначальной загрузки)?
Вкратце: это - действительно хорошая безопасная идея оставить Защищенную загрузку отключенной?
У меня есть два ноутбука с LinuxMint, Xuntu, Ubuntu 14&5 Win 10 и Win 8.1 между ними. Личинка 2 хорошо работает с/, / начальная загрузка и / домашние разделы. Все это взяло, многие переустанавливают и играющий в BIOS с включенной начальной загрузкой прежней версии (но UEFI, остающийся на приоритете) на Lenovo.
Я люблю свой набор даже при том, что время от времени я должен возвратиться в BIOS, поскольку Windows продолжает подтверждать себя как приоритетная начальная загрузка.
Мой вопрос касается растущей угрозы вредоносного программного обеспечения, использования хакера и появления новых форм нападения, такого как руткит и программное обеспечение с вирусом-вымогателем.
Я стону для размышления о вводных кучах проблем путем перевключения Защищенной загрузки. Но - возможно, стоит как превентивная мера начать экспериментировать и видеть, могу ли я загрузиться в режиме Secure Boot ON теперь, прежде чем следующая волна вредоносного программного обеспечения начнет использовать в своих интересах те из нас, кто выключил Защищенную загрузку. Пришел, чтобы это время для запуска бронирования и требования подписало ОС для начальной загрузки, или все еще безопасно оставить его и рискнуть с использованием, которое, кажется, proiliferating во всем мире?
Примечание: оба используют тот же MS совместимый BIOS Insyde или что-то как этот на HP 2000 Pentium, 4 ГБ таранят другой, поршень Lenovo 5080 i3 4 ГБ (да, я буду обновлять память как можно скорее :-))
1 ответ
Ваш вопрос создается на ложной посылке, что существуют такие вещи как "безопасные" и "небезопасные" методы. Нет. Существуют только родственник меры безопасности - практика A может быть более безопасна , чем практика B, но вызов практики "сейф" вводит в заблуждение в лучшем случае
, Имея это в виду, Защищенная загрузка, поскольку имя подразумевает, была разработана для увеличения безопасности. Мы могли дебатировать, насколько эффективный это при выполнении этого, но даже если Вы будете очень скептически относиться к нему, то активирование Защищенной загрузки вряд ли уменьшит безопасность, и существуют, по крайней мере, теоретические преимущества для активации его.
Ubuntu поддерживает Защищенную загрузку, в том смысле, что Ubuntu поставлется с программой Контейнера со знаком так, чтобы ОС могла загрузиться с включенной Защищенной загрузкой. Как doug примечания, GRUB Ubuntu загрузит неподписанное ядро, но это - только одна возможная угроза безопасности - компьютер с отключенной Защищенной загрузкой загрузит любой старый двоичный файл EFI, даже тот, который не полагается на GRUB или ядро Linux всегда. Такой двоичный файл мог быть злонамеренным, поэтому если бы кто-то должен был установить на Вашем компьютере, то как часть процесса начальной загрузки, программа, которая пишет мегабайт случайных данных к случайным секторам на Вашем диске с каждой начальной загрузкой, Вы были бы в беде. Такая программа не должна полагаться на GRUB или ядро Linux; это могло быть автономное приложение EFI. Защищенная загрузка получила бы, по крайней мере, хорошую возможность блокирования такой вредоносной программы.
изменение в GRUB, обсуждаемом для 16,04, заставит Ubuntu работать немного больше как Fedora - с тем изменением, GRUB Ubuntu запустится, только подписал ядра Linux, ядра весьма со знаком. Это не должно делать его немного тяжелее для запуска Ubuntu, если Вы не используете свои собственные локально скомпилированные ядра, так как Ubuntu уже поставлется с ядрами со знаком. В любом случае, с включенной Защищенной загрузкой, необходимо использовать Контейнер для запуска GRUB и поставок Ubuntu с подходящим двоичным файлом Контейнера. Это изменение, как Защищенная загрузка, увеличит безопасность, но не сделает Ubuntu "безопасной" ни в каком абсолютном смысле.
На практике, я не знаю, как общее вредоносное программное обеспечение EFI перед начальной загрузкой. Такие инструменты, конечно, существуют для BIOS, и я услышал о демонстрационных программах для EFI, но я не знаю, распространены ли они "в дикой местности". Даже если они являются редкими сегодня, тем не менее, они могли бы стать распространены завтра, так защита себя имеет смысл. Эта защита принимает много форм, никакая из которых не соответствует отдельно. Защищенная загрузка может быть частью той защиты, как может вирусные сканеры, брандмауэры, хорошие методы безопасности счетов, и т.д.
, Если Вы устанавливаете Ubuntu правильно в системе с функционирующей системой Защищенной загрузки, Вы не должны даже замечать, что Защищенная загрузка активна - по крайней мере, не, если или пока Вы не хотите сделать что-то, любят, компилируют Ваше собственное ядро или используют программу начальной загрузки кроме GRUB. Ваш комментарий, что необходимо было скорректировать "BIOS" (действительно EFI) настройки для включения поддержки BIOS/CSM/наследия, предлагает, чтобы у Вас или был поврежденный EFI, или Вы сделали вещи твердый путь. (Существует все еще много страниц, которые дают очень плохой совет установки EFI.) Мое собственное Веб-страница на Защищенной загрузке обеспечивает справочную информацию и практический совет относительно того, как использовать его (или как отключить его). Можно также хотеть читать моя страница на режиме EFI установки Linux и сообщение в блоге Adam Williamson о том, как EFI работает на большую справочную информацию о режиме EFI, загружающемся обычно. С надлежащим пониманием не трудно управиться с режимом EFI, загружающимся с активной Защищенной загрузкой.