Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на проблему:
$ cd "$MODULES_DIR/updates/dkms"
bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого файла или каталога
Сейчас драйвера временно удалены, но вообще они были установлены командой sudo apt install
nvidia-driver.
P.S. Сейчас подумал, что, возможно, помешало то, что первоначально драйвера устанавливал от
bullseye, а ядро от bullseye-updates. Если дело в этом, то предстоит также выяснить, как
установить приоритет драйверов для updates, поскольку там, как ни странно, более старая версия,
чем в bullseye.
Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на проблему:
cd "$MODULES_DIR/updates/dkms" # For dkms packages
[-- text/plain, encoding base64, charset: UTF-8, 5 lines --]
Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на
проблему:
$ cd "$MODULES_DIR/updates/dkms"
bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого файла
или каталога
Дык, это задача dkms подписывать автоматически собранные модуля. Там правда
как всегда за последние пол года всё сломали три раза, но вроде последние
релизы dkms умеют отличать unsigned модули от signed и не падать после
сборки (подписывать при наличии ключей если это действительно требуется).
вт, 31 янв. 2023 г. в 04:31, Tim Sattarov <[email protected]>:
```
Building module:
Cleaning build area...
env NV_VERBOSE=1 make -j8 modules KERNEL_UNAME=6.1.0-2-amd64....................
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-modeset.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-drm.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-uvm.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-peermem.ko
```
Судя по твоему удивлению, ни ключ создать, ни ввести от него пароль при подписании тебе не было
предложено.
Прелестно. Как в том мультике про уборщицу в банковском хранилище... )
Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь
на проблему:
$ cd "$MODULES_DIR/updates/dkms"
bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого
файла или каталога
ср, 1 февр. 2023 г. в 16:40, Alexander Gerasiov <[email protected]>:Ты не поверишь, их создал sicherboot.
/lib/modules/"$1"/build/scripts/sign-file sha512 /etc/sicherboot/keys/db.key /etc/sicherboot/keys/db.cer "$2"
Штрилитц ещё никогда не был так близок к провалу )
Для не знающих немецкий, "sicher" - по-немецки "безопасный" в смысле
"secure" )
А кто и в какой момент тебе эти ключи создал? И была ли возможность
задать пароли при генерации?
Потому что предыдущий оратор вроде как даже не заметил, как это всё
произошло.
Пароль можно добавить, но в моей модели угроз он не нужен. Для меня
secureboot это гарантия, что на моем хосте нельзя забутить другую ОС
и/или подменить ядро/загрузчик получив физический доступ к ноутбуку.
вт, 31 янв. 2023 г. в 18:43, Tim Sattarov <[email protected]>:
Тут встаёт вопрос а зачем вообще нужен Secure Boot.
В моём случае когда то давно, когда я ставил дуал бут на лаптопе, 11-я винда очень хотела его
и нельзя было иметь secure boot только для одной операционки.
Неужель на винде нельзя отлючить SecureBoot? Вроде можно.
Винде он нужен, чтобы нельзя было её активировать мимо кассы, естественно. Линуксу, для того,
чтобы руткитов избежать по максимуму. Но если можно даже пускай с рутовыми правами, но без ввода
пароля, подписать любой модуль в бэкграунде, то увы, это говно.
вт, 31 янв. 2023 г. в 18:43, Tim Sattarov <[email protected]>:
Тут встаёт вопрос а зачем вообще нужен Secure Boot.
В моём случае когда то давно, когда я ставил дуал бут на лаптопе,
11-я винда очень хотела его и нельзя было иметь secure boot только
для одной операционки.
Неужель на винде нельзя отлючить SecureBoot? Вроде можно.
Винде он нужен, чтобы нельзя было её активировать мимо кассы,
естественно. Линуксу, для того, чтобы руткитов избежать по максимуму.
Но если можно даже пускай с рутовыми правами, но без ввода пароля,
подписать любой модуль в бэкграунде, то увы, это говно.
В Wed, 1 Feb 2023 10:11:15 -0500
Tim Sattarov <[email protected]> пишет:
Если думаешь, что можно как то лучше и безопаснее - предлагай. ЯПо моим представлениям нужно:
понимаю, что обличать и открывать глаза иногда полезно. Но ключевое
слово здесь "иногда".
1. Выстраивать непрерывную цепочку доверия от BIOS до конкретных
исполняемых модулей. Да, и скриптовых тоже, да, и разделяемых библиотек
тоже. То есть bsign это хорошо, но нужен еще scriptsign.
2. Проверка на подпись скриптов должна быть встроена в интерпретатор,
чтобы никакими средствами языка (. в shell, require в perl и т.д.)
нельзя было ее обойти.
3. По возможности физически разделять машины где ведется разработка (и
где подписываются исполняемые модули) и те, где защита секьюрбутом
применяется в боевом режиме в качестве защиты от реальных атак. Потому
что непонятно как совместить подпись каждого исполняемого файла в
системе с разработкой программ, а особенно скриптов-однострочников у
которых PKCS7-структура подписи будет больше места, чем содержательный
код занимать.
On 2/1/23 10:19, Victor Wagner wrote:
В Wed, 1 Feb 2023 10:11:15 -0500
Вот это уже интересно. А процесс защиты ограничен именно этими
алгоритмами? Если ограничиться только secure boot и интерфейсом с
BIOS/UEFI. Как бы выглядела идеальная защита там?
Maksim Dmitrichenko выше недоволен отсутствием ввода секрета во время
подписи драйверов, что делает процесс больше фикцией,
Так как секреты (ключи подписи) находятся там же где и сами артифакты
для подписи. И ничего их не защищает.
только в получении рута на машине. Модули скачанные с сайта debian
подписаны майнтейнером. Там более менее можно ограничить доступ к
секретному ключу. Но всё то что делает DKMS эту защиту опускает до
своего уровня - права доступа к директории с модулями.
Чем сложнее получить доступ к данным, тем безопаснее.
SecureBoot усложняет доступ злоумышленникам. И то что нам не
нравится, это то, что это усложнение недостаточно сложно.
Мы можем рассуждать и ругать существующую ситуацию, или можем прийти
к какому нибудь выводу, схеме, решению, которое может быть лучше, чем
то что есть в данный момент. И начать пинать мейнтейнеров.
В Wed, 1 Feb 2023 16:42:47 +0200
Alexander Gerasiov <[email protected]> пишет:
Пароль можно добавить, но в моей модели угроз он не нужен. Для меня
secureboot это гарантия, что на моем хосте нельзя забутить другую ОС
и/или подменить ядро/загрузчик получив физический доступ к
ноутбуку.
А можно подробнее про эту модель угроз?
Что мы защищаем - данные на диске ноутбука или сам ноутбук как набор
вычислительных ресурсов?
Каким временем располагает атакующий, получивший физический доступ к
ноутбуку, и какие средства обнаружения такого доступа предусмотрены?
А DKMS это вообще паллиатив. Если мы используем DKMS, значит мы хотимDKMS как система сборки тут ни при чём. Это никак не отменяет наличия общественно доступных ключей,
использовать какие-то лиценизонно не совместимые с мейнлайн-ядром
модули. Потому что если бы они были совместимы, был бы готовый пакет.
То есть по хорошему счету, используя DKMS мы сразу говорим "мы тут
доверяем какому-то левому коду исполняться в контексте ядра"
Да, это конечно иногда наименьшее зло. Но, возможно что авторы DKMS
именно так и рассудили, что снявши голову по волосам не плачут, и если
мы используем dkms-модули вместе с secureboot, secureboot нам нужен не
для безопасности, а для чего-то ещё (чтобы там TPM работал или чтобы
какие-нибудь сертифицирующие органы отвязались).
От подмены этих файлов защищает secureboot с кастомными ключами.
On 2/1/23 14:46, Alexander Gerasiov wrote:Да, всё так. Делаю это использую sicherboot - он хорошо автоматизирует
От подмены этих файлов защищает secureboot с кастомными ключами.
А можно поподробнее про этот момент как кастомные ключи в этом случае
работают? ты грузишь свои собственные ключи в BIOS и указываешь
степень доверия? Если да, то я думаю этот момент даёт достаточно
хорошую защиту, если не доводить до гаечных ключей, и прочих горячих
предметов.
В Wed, 1 Feb 2023 21:46:59 +0200
Alexander Gerasiov <[email protected]> пишет:
On Wed, 1 Feb 2023 18:12:59 +0300
Victor Wagner <[email protected]> wrote:
В Wed, 1 Feb 2023 16:42:47 +0200
Alexander Gerasiov <[email protected]> пишет:
Пароль можно добавить, но в моей модели угроз он не нужен. Для
меня secureboot это гарантия, что на моем хосте нельзя забутить
другую ОС и/или подменить ядро/загрузчик получив физический
доступ к ноутбуку.
Да, и это, конечно же тоже.В случае физического доступа получить доступ к данным не получится
(так как они зашифрованы), но можно залить модифицированный
загрузчик/ядро/инитрамфс, так как что-то из этого должно
лежать на диске не зашифрованное.
О, наконец мне кто-то объяснил зачем может быть нужна на ноутбуке
full disk encryption - она защищает от подмены user-space бинарников,
которые не защищает secureboot.
Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная,Для грубой силы - вредная. Для угрозы "любопытный нос полез в утерянный
потому что является ярким сигналом "здесь есть что-то ценное". И
провоцирует нашего противника на применение терморектального (или, в
случае толетантных демократических стран rubber hose) крипоанализа.
On Wed, 1 Feb 2023 18:12:59 +0300
Victor Wagner <[email protected]> wrote:
В Wed, 1 Feb 2023 16:42:47 +0200
Alexander Gerasiov <[email protected]> пишет:
Пароль можно добавить, но в моей модели угроз он не нужен. Для
меня secureboot это гарантия, что на моем хосте нельзя забутить
другую ОС и/или подменить ядро/загрузчик получив физический
доступ к ноутбуку.
В случае физического доступа получить доступ к данным не получится
(так как они зашифрованы), но можно залить модифицированный
загрузчик/ядро/инитрамфс, так как что-то из этого должно
лежать на диске не зашифрованное.
Так-то я всегда полагал что FDE это вещь скорее вредная, чемДля грубой силы - вредная. Для угрозы "любопытный нос полез в
полезная, потому что является ярким сигналом "здесь есть что-то
ценное". И провоцирует нашего противника на применение
терморектального (или, в случае толетантных демократических стран
rubber hose) крипоанализа.
утерянный ноутбук" - всё же полезная.
02.02.2023 16:45, Victor Wagner пишет:
О, наконец мне кто-то объяснил зачем может быть нужна на ноутбукеНе только. FDE еще полезно в случае потери или гражи ноутбука, чтобы
full disk encryption - она защищает от подмены user-space
бинарников, которые не защищает secureboot.
мне не пришлось судорожно не вспоминать, какие именно фотографии я на
нем хранил и нет ли там чего-то такого, что сделало бы мою жизнь чуть
более сложной в случае, если новый хозяин ноутбука будет достаточно
любопытен, чтобы покопаться в моих файлах. В случае FDE ему останется
только переформатировать диски.
On Thu, Feb 02, 2023 at 06:40:40PM +0300, Victor Wagner wrote:
Поскольку в мою модель угроз входит появление в доме вежливого
офицера ФСБ с ордером на обыск или встреча с не менее вежливым
таможенником при пересечении границы, меры, рассчитанные на
противодействие этим угрозам, спасают и от излишне любопытного
нашедшего ноутбук.
Второй раз читаю тут про таможенника, и ума не приложу, какое может
быть дело таможне до содержимого диска... Биты и байты вроде никакими
пошлинами не облагаются, а у таможенника нет ни времени, ни средств
изучать их: другие пассажиры в очереди нервничают и матерятся.
К слову, лучшее средство от ордера на обыск -- бэкап, тщательно
спрятанный вне дома, плюс запасной комплект вычислительной техники к
нему, плюс заначка для того, чтобы сразу после обыска докупить ещё
один запасной комплект.
Это, кстати, многие не понимают. Что всегда надо рассматривать две
угрозы
1. Что ваши данные попадут не в те руки
2. Что ваши руки не дотянутся до ваших данных в тот момент, когда
вам эти данные будут нужны.
Предложенный тобой способ защищает от второй угрозы. А пользователи
всяких FDE надеются, что применение этих средств защитит их от
первой
В слове FDE буква E как раз защищает, а вот FD, как верно было
замечено, скорее бесит нападающих и толкает их на применение
радикальных средств... Всё ценное должно быть зашифровано, включая
бэкап, но шифровать всё подряд это глупость, IMHO.
| Sysop: | Keyop |
|---|---|
| Location: | Huddersfield, West Yorkshire, UK |
| Users: | 715 |
| Nodes: | 16 (2 / 14) |
| Uptime: | 26:07:55 |
| Calls: | 12,106 |
| Calls today: | 6 |
| Files: | 15,006 |
| Messages: | 6,518,191 |