Secure Boot v openSUSE
Frederic Crozat ve svém blogu uvádí, že pro bezproblémový provoz openSUSE na systémech se Secure bootem, tak aby uživatel nebyl zbytečně obtěžován věcmi jako vypnutí Secure bootu nebo přidání vlastního klíče, je potřeba vyřešit několik věcí.
Změny v jádře
(některé jsou již obsaženy v 3.7 nebo se plánují pro 3.8):
- převést jádro jako EFI spustitelné (bude použito pro uložení jaderných podpisů)
- UEFI podpora hodin (bylo by hezké mít)
- UEFI getvideomode
- UEFI reboot (už máme 4 způsoby jak restartovat systém, proč nepřidat další :)
- KMS ovladače (pro staré čipsety jako Matrox, AST).
- podepsané jádro
- podepsané všechny hlavní jaderné moduly
- generovat soukromé/veřejné klíče pro použití ostatních modulů
- přidat podporu Secure Boot do KExec / KDump a Xen (volitelně)
- vypnout hibernaci v módu Secure Boot (nebo najít bezpečnou cestu jak ukládat/probouzet uspaný systém)
- přidat kontrolu podpisu do jádra
Zavaděč
- přibalit předzavaděč shim
- upravit grub2 tak, aby při startu používal předzavaděč shim pro kontrolu podepsaného jádra
Build Service
- možnost vytvářet externí jaderné moduly (KMP) za použití soukromého/veřejného klíče vygenerovaného při sestavování jádra
- ale nepovolit těmto klíčům použití v náhodných KMP buildech (jinak pozbude smysl podepisovat moduly)
Userspace tools
- přibalit xf86-video-modesettings, pro grafické čipsety s neakcelerovanými KMS ovladači
- přidat podporu pro kontrolu podpisu v modutils / kmod
- zabalit nástroje pro podepisování jádra / modulů
Instalátor / DVD obraz
- možná zobrazovat hlášení o tom, že je systém instalován v Secure Boot módu (nejsem si 100% jistý zda bychom měli dělat)
- možná podepsat počáteční instalátor a ujistit se, že nenatáhne nepodepsané moduly
- ujistit se, že DVD obraz obsahuje shim a grub2 jako zavaděč pri bootování na UEFI systémech
A další
- Pokud chceme, aby byl Secure Boot pro uživatele transparentní, potřebujeme, aby shim předzavaděč byl podepsán autoritou, která má UEFI klíče, např. Microsoft.
- To ovšem zahrnuje nějaké papírování a úkoly. Jakmile bude vše hotovo je nutné odeslat shim předzavaděč do MS a následně jej zabalit
Jak je patrno, je nutné udělat mnoho práce, ale výsledky by měly být dostupné s příští verzí openSUSE.
Zdroj: http://blog.crozat.net/2012/11/secure-boot-on-opensuse-battleplan.html
Autor: jiri.vetvicka
Přidat komentář