Включение и конфигурирование Защищенной загрузки не предлагают дополнительного преимущества безопасности в Ubuntu?

Question 1

Текст ниже с веб-сайта Национального Центра Кибербезопасности, верная Великобритания?

Пока аппаратные средства Защищенной загрузки могут проверить первый шаг цепочки начальной загрузки, Ubuntu не продолжает проверять загружающуюся систему, таким образом, включить и настроить Защищенную загрузку не предлагают дополнительного преимущества безопасности.

Question 2

Это действительно так. В Windows безопасная загрузка может предложить дополнительные преимущества, как отмечено в NCSC :

Драйвер раннего запуска для защиты от вредоносных программ (ELAM) обеспечивает проверку подписи для известных плохих драйверов в соответствии с ELAM системы, настроенные для использования безопасной загрузки.

...

Процесс безопасной загрузки Windows 10 (на поддерживаемом и правильно настроенном оборудовании) предупреждает пользователя, когда была предпринята попытка подорвать средства управления безопасностью. Важно, чтобы пользователи знали, как идентифицировать и реагировать на это предупреждение.

Ни одна из функций не доступна в Ubuntu, о которой я знаю.

Question 3

Question 4

Это правда, Secure Boot over UEFI проверяет только подписанную прошивку загрузки (файл, помещенный в раздел FAT32, используемый для запуска загрузчика), но кажется, что проверка подписанных драйверов также может быть выполнена, но я никогда не слышал о драйверах, подписывающих в Ubuntu, в то время как системы Microsoft делают это. Остальная часть файловой системы не подписана наверняка.

Некоторая информация здесь

редактировать: я создал подписанный пакет linux в репозитории Ubuntu, это означает, что драйверы также подписаны.

Question 5

Поддержка Защищенной загрузки Ubuntu изменялась со временем, и кавычка, которую Вы обеспечили, устарела. Вообще говоря существует несколько этапов, на которых могла бы произойти проверка:

Проверка загрузчика - Это - предел того, что делает Защищенная загрузка, по сути. Защищенная загрузка препятствует тому, чтобы UEFI запустился неподписанный (или неправильно подписанный) двоичные файлы, и это - в основном это. Под EFI загрузчики являются двоичными файлами EFI, таким образом, Защищенная загрузка мешает им запуститься, если они не подписываются. Загрузчик, однако, разработан для запуска ядра, которое не является двоичным файлом EFI, так отдельно, Защищенная загрузка не может заблокировать запуск неподписанного ядра, если загрузчик разработан для разрешения его. (Существуют некоторые протесты и исключения, касающиеся технических деталей, все же.) Таким образом, на этом уровне, Защищенная загрузка может препятствовать тому, чтобы загрузчик был поставлен под угрозу, но это не может препятствовать тому, чтобы последующие части программного стека были поставлены под угрозу.
Проверка ядра - Для улучшения безопасности далее ядро должно быть проверено. Последнее, которое я слышал (который был два или три года назад), запас GRUB не проверило ядро всегда. Таким образом, если бы необходимо было использовать запас GRUB, то он счастливо запустил бы любое ядро, Вы подали его. Ubuntu, по крайней мере, через версию 12.04 использовала GRUB, который работал таким образом. Измененные двоичные файлы GRUB, которые требуют ядра со знаком, доступны, и используются многими дистрибутивами. Я не вспоминаю, потребовала ли Ubuntu 14.04's GRUB ядра со знаком. Ubuntu 16.04's GRUB определенно требует ядра со знаком, по крайней мере, с его конфигурацией по умолчанию. Кроме того, с тех пор по крайней мере, версия 12.04, Ubuntu обеспечила ядра, которые были подписаны с ключами Защищенной загрузки, и это могло поэтому быть запущено с загрузчиком, который сделал эту проверку. Таким образом, путем выгрузки запаса GRUB, даже Ubuntu 12.04 могла быть настроена для требования ядра со знаком.
Проверка модулей ядра - ядра Linux могут загрузить модули ядра, и если ядро подписывается, но загружает вредоносно-наполненный модуль ядра, состояние со знаком основного ядра бессмысленно. Хотя я не на 100% уверен в том, потребовала ли Ubuntu 14.04 ядра со знаком, я довольно уверен, что Ubuntu 14.04 не потребовала подписанных модулей ядра. Это изменилось с Ubuntu 16.04. Это изменение было неудобством людям, которые хотят использовать сторонние собственные драйверы, такие как те, которые для VirtualBox или видеодрайверов для микросхем Nvidia или ATI/AMD. Эти модули драйвера не подписываются Каноническим, который требует добавлять ответ Владельца машины ключа (MOK), самоподписывающий модули, если Защищенная загрузка должна быть сохранена включенной.
Проверка двоичных файлов пространства пользователя - Однажды ядро загрузилась, это запускает двоичные файлы пространства пользователя - все от bash до веб-браузеров и текстовых процессоров. В принципе ядро могло потребовать, чтобы эти двоичные файлы были подписаны. На практике я не знаю ни о какой поддержке такого требования подписания в Linux. Такое требование было бы довольно обременительно, особенно для разработчиков программного обеспечения или кого-либо, кто хочет выполнить двоичные файлы от третьих лиц.

В дополнение к этим четырем главным уровням (потенциальной) проверки, существует несколько скручиваний, промежуточных уровней, исключений, и т.д. Например, ядро может включать загрузчик тупика EFI, , который превращает ядро в его собственный загрузчик, таким образом стирая грань между шагами 1 и 2. Я также видел ядра, которые отказываются запускаться, если они запускаются из загрузчика, который не делает проверки Защищенной загрузки, которая изменяет к лучшему требование шага № 2. В принципе проверка вне загрузчика могла использовать механизм кроме ключей Защищенной загрузки. На практике, в мире Linux, ключи Защищенной загрузки используются через шаг № 3; однако, это - мое понимание, что ядро предоставляет свой собственный код для проверки модулей ядра (шаг № 3), таким образом, технически код Защищенной загрузки в UEFI не включен мимо шага № 2. (Я никогда не исследовал это подробно, тем не менее, таким образом, я мог бы ошибиться об этой детали.)

кроме того, я сфокусировался на выпусках LTS в своих описаниях выше. Некоторые изменения настроек безопасности, возможно, были представлены во временном (non-LTS) выпуски; я не вспоминаю детали.

, Как отмечено, Ubuntu увеличивала свой уровень требований проверки со временем. Кавычка, которую Вы обеспечили, была точна для Ubuntu 12.04, и возможно 14.04, но не 16.04 - по крайней мере, не с конфигурацией по умолчанию с Защищенной загрузкой, включенной во встроенном микропрограммном обеспечении. (Вы могли, конечно, выгрузить GRUB Ubuntu для более старой версии или другого загрузчика, который не делает никакой проверки Защищенной загрузки вообще.) Для некоторых приложений более прекрасные детали, как обзоры кода кода доступа, могут быть важными. Если Вы работаете в среде высокой безопасности (как банк, оборонный подрядчик, определенные правительственные учреждения, и т.д.), необходимо определенно полагаться отдел безопасности собственного работодателя, подрядчиков безопасности, и т.д., а не совет от случайных незнакомцев на веб-форуме.

muru · Answer 1 · 1 December 2019 в 11:19

Это действительно так. В Windows безопасная загрузка может предложить дополнительные преимущества, как отмечено в NCSC :

Драйвер раннего запуска для защиты от вредоносных программ (ELAM) обеспечивает проверку подписи для известных плохих драйверов в соответствии с ELAM системы, настроенные для использования безопасной загрузки.

...

Процесс безопасной загрузки Windows 10 (на поддерживаемом и правильно настроенном оборудовании) предупреждает пользователя, когда была предпринята попытка подорвать средства управления безопасностью. Важно, чтобы пользователи знали, как идентифицировать и реагировать на это предупреждение.

Ни одна из функций не доступна в Ubuntu, о которой я знаю.

ob2 · Answer 2 · 1 December 2019 в 11:19

Это правда, Secure Boot over UEFI проверяет только подписанную прошивку загрузки (файл, помещенный в раздел FAT32, используемый для запуска загрузчика), но кажется, что проверка подписанных драйверов также может быть выполнена, но я никогда не слышал о драйверах, подписывающих в Ubuntu, в то время как системы Microsoft делают это. Остальная часть файловой системы не подписана наверняка.

Некоторая информация здесь

редактировать: я создал подписанный пакет linux в репозитории Ubuntu, это означает, что драйверы также подписаны.

Rod Smith · Answer 3 · 1 December 2019 в 11:19

Поддержка Защищенной загрузки Ubuntu изменялась со временем, и кавычка, которую Вы обеспечили, устарела. Вообще говоря существует несколько этапов, на которых могла бы произойти проверка:

Проверка загрузчика - Это - предел того, что делает Защищенная загрузка, по сути. Защищенная загрузка препятствует тому, чтобы UEFI запустился неподписанный (или неправильно подписанный) двоичные файлы, и это - в основном это. Под EFI загрузчики являются двоичными файлами EFI, таким образом, Защищенная загрузка мешает им запуститься, если они не подписываются. Загрузчик, однако, разработан для запуска ядра, которое не является двоичным файлом EFI, так отдельно, Защищенная загрузка не может заблокировать запуск неподписанного ядра, если загрузчик разработан для разрешения его. (Существуют некоторые протесты и исключения, касающиеся технических деталей, все же.) Таким образом, на этом уровне, Защищенная загрузка может препятствовать тому, чтобы загрузчик был поставлен под угрозу, но это не может препятствовать тому, чтобы последующие части программного стека были поставлены под угрозу.
Проверка ядра - Для улучшения безопасности далее ядро должно быть проверено. Последнее, которое я слышал (который был два или три года назад), запас GRUB не проверило ядро всегда. Таким образом, если бы необходимо было использовать запас GRUB, то он счастливо запустил бы любое ядро, Вы подали его. Ubuntu, по крайней мере, через версию 12.04 использовала GRUB, который работал таким образом. Измененные двоичные файлы GRUB, которые требуют ядра со знаком, доступны, и используются многими дистрибутивами. Я не вспоминаю, потребовала ли Ubuntu 14.04's GRUB ядра со знаком. Ubuntu 16.04's GRUB определенно требует ядра со знаком, по крайней мере, с его конфигурацией по умолчанию. Кроме того, с тех пор по крайней мере, версия 12.04, Ubuntu обеспечила ядра, которые были подписаны с ключами Защищенной загрузки, и это могло поэтому быть запущено с загрузчиком, который сделал эту проверку. Таким образом, путем выгрузки запаса GRUB, даже Ubuntu 12.04 могла быть настроена для требования ядра со знаком.
Проверка модулей ядра - ядра Linux могут загрузить модули ядра, и если ядро подписывается, но загружает вредоносно-наполненный модуль ядра, состояние со знаком основного ядра бессмысленно. Хотя я не на 100% уверен в том, потребовала ли Ubuntu 14.04 ядра со знаком, я довольно уверен, что Ubuntu 14.04 не потребовала подписанных модулей ядра. Это изменилось с Ubuntu 16.04. Это изменение было неудобством людям, которые хотят использовать сторонние собственные драйверы, такие как те, которые для VirtualBox или видеодрайверов для микросхем Nvidia или ATI/AMD. Эти модули драйвера не подписываются Каноническим, который требует добавлять ответ Владельца машины ключа (MOK), самоподписывающий модули, если Защищенная загрузка должна быть сохранена включенной.
Проверка двоичных файлов пространства пользователя - Однажды ядро загрузилась, это запускает двоичные файлы пространства пользователя - все от bash до веб-браузеров и текстовых процессоров. В принципе ядро могло потребовать, чтобы эти двоичные файлы были подписаны. На практике я не знаю ни о какой поддержке такого требования подписания в Linux. Такое требование было бы довольно обременительно, особенно для разработчиков программного обеспечения или кого-либо, кто хочет выполнить двоичные файлы от третьих лиц.

В дополнение к этим четырем главным уровням (потенциальной) проверки, существует несколько скручиваний, промежуточных уровней, исключений, и т.д. Например, ядро может включать загрузчик тупика EFI, , который превращает ядро в его собственный загрузчик, таким образом стирая грань между шагами 1 и 2. Я также видел ядра, которые отказываются запускаться, если они запускаются из загрузчика, который не делает проверки Защищенной загрузки, которая изменяет к лучшему требование шага № 2. В принципе проверка вне загрузчика могла использовать механизм кроме ключей Защищенной загрузки. На практике, в мире Linux, ключи Защищенной загрузки используются через шаг № 3; однако, это - мое понимание, что ядро предоставляет свой собственный код для проверки модулей ядра (шаг № 3), таким образом, технически код Защищенной загрузки в UEFI не включен мимо шага № 2. (Я никогда не исследовал это подробно, тем не менее, таким образом, я мог бы ошибиться об этой детали.)

кроме того, я сфокусировался на выпусках LTS в своих описаниях выше. Некоторые изменения настроек безопасности, возможно, были представлены во временном (non-LTS) выпуски; я не вспоминаю детали.

, Как отмечено, Ubuntu увеличивала свой уровень требований проверки со временем. Кавычка, которую Вы обеспечили, была точна для Ubuntu 12.04, и возможно 14.04, но не 16.04 - по крайней мере, не с конфигурацией по умолчанию с Защищенной загрузкой, включенной во встроенном микропрограммном обеспечении. (Вы могли, конечно, выгрузить GRUB Ubuntu для более старой версии или другого загрузчика, который не делает никакой проверки Защищенной загрузки вообще.) Для некоторых приложений более прекрасные детали, как обзоры кода кода доступа, могут быть важными. Если Вы работаете в среде высокой безопасности (как банк, оборонный подрядчик, определенные правительственные учреждения, и т.д.), необходимо определенно полагаться отдел безопасности собственного работодателя, подрядчиков безопасности, и т.д., а не совет от случайных незнакомцев на веб-форуме.

Включение и конфигурирование Защищенной загрузки не предлагают дополнительного преимущества безопасности в Ubuntu?

3 ответа

Другие вопросы по тегам:

Похожие вопросы: