Frågor om "Secure boot" - nödvändigt?

Trädvy Permalänk
Medlem
Registrerad
Dec 2003

Frågor om "Secure boot" - nödvändigt?

För det första, är Secure boot rekommenderat eller nödvändigt om man kör Ubuntu? Vinner man verkligen något på det ur säkerhetssynpunkt?

För det andra, kan man bara använda Secure boot om man kör dual boot med Windows 8 samtidigt?

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av Mysterium:

För det första, är Secure boot rekommenderat eller nödvändigt om man kör Ubuntu? Vinner man verkligen något på det ur säkerhetssynpunkt?

För det andra, kan man bara använda Secure boot om man kör dual boot med Windows 8 samtidigt?

Det gör så att UEFI kontrollerar att det som skall bootas är signerat med den nyckel som specats på förhand. Dvs, det täpper igen möjligheten att byta ut bootloader eller motsv. utan att det märks. Dvs, OSet som bootas ska kunna utgå ifrån att maskinen inte redan tagits över av maliciös kod innan det ens startat.

Om du vill uppnå en säkerhetsmodell för bootprocessen som mer liknar det vi är vana vid från smartphones/tablets/... så är det ju vägen framåt.

Jag vet inte om jag riktigt förstår bakgrunden till den andra frågan men svaret är nej.

Intel i7 6850k || Asus X99-A II || Evga GTX 980Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av evil penguin:

Jag vet inte om jag riktigt förstår bakgrunden till den andra frågan men svaret är nej.

Jag har uppfattat det som att endast boot loaders som är signerade från Microsoft tillåts starta och jag tänkte att Ubuntu därför kanske måste startas via WIndows boot loader på något sätt.

Hur gör man annars?

Jag har hur som helst installerat Ubuntu, men jag kan inte välja alternativet Secure boot i UEFI-inställningarna. Vad måste jag göra för att det ska gå att köra Ubuntu med Secure boot?

Redigering: Jo, jag kan visst aktivera secure boot i UEFI-inställningarna, jag hade bara missuppfattat vilket alternativ det var. Om jag nu har aktiverat det och kan boota Ubuntu som vanligt, betyder detta att Ubuntus boot loader har accepterats och att det inte finns några kompatibilitetsproblem?

Kan man aktivera secure boot i efterhand när Ubuntu är installerat, eller måste Ubuntu installeras när secure boot redan är aktiverat?

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av Mysterium:

Jag har uppfattat det som att endast boot loaders som är signerade från Microsoft tillåts starta och jag tänkte att Ubuntu därför kanske måste startas via WIndows boot loader på något sätt.

Hur gör man annars?

Jag har hur som helst installerat Ubuntu, men jag kan inte välja alternativet Secure boot i UEFI-inställningarna. Vad måste jag göra för att det ska gå att köra Ubuntu med Secure boot?

Redigering: Jo, jag kan visst aktivera secure boot i UEFI-inställningarna, jag hade bara missuppfattat vilket alternativ det var. Om jag nu har aktiverat det och kan boota Ubuntu som vanligt, betyder detta att Ubuntus boot loader har accepterats och att det inte finns några kompatibilitetsproblem?

Kan man aktivera secure boot i efterhand när Ubuntu är installerat, eller måste Ubuntu installeras när secure boot redan är aktiverat?

Dels kan du normalt ändra vilka nycklar som skall användas i UEFI Setup, vilket skulle låta dig använda en bootloader signerade med antingen distromakarens nyckel eller en helt egen nyckel (kräver ju dock mer arbete) om så önskas, sedan har de flesta större Linuxdistros ett shim-paket med en bootloader signerad av Microsoft om man vill boota på en maskin nedlåst med Microsofts nycklar (se http://packages.ubuntu.com/wily/shim-signed för Ubuntu).

Intel i7 6850k || Asus X99-A II || Evga GTX 980Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Medlem
Registrerad
Apr 2002

https://wiki.ubuntu.com/SecurityTeam/SecureBoot
https://help.ubuntu.com/community/UEFI
är nog läsvärt specifikt för Ubuntu.

Jag skulle misstänka att om du har SecureBoot påslaget redan vid installation så får du nog mer hjälp med att sätta upp allting.

Intel i7 6850k || Asus X99-A II || Evga GTX 980Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Medlem
Registrerad
Dec 2003

Tack för ditt svar, men jag förstår inte hur det funkar. Är en bootloader något som måste installeras separat när jag installerar Ubuntu? Sedan förstår jag inte vad själva den "saken" som ska godkänna bootloadern är? Sitter den funktionen i själva UEFI:n på moderkortet?

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av evil penguin:

Jag har läst lite där men det är ju väldigt komplicerat. Finns det inte enkelt sätt att göra detta?

Skrivet av evil penguin:

Jag skulle misstänka att om du har SecureBoot påslaget redan vid installation så får du nog mer hjälp med att sätta upp allting.

Ja, men jag slog av det för jag installerade i legacy-läge först för att kunna boota från dvd-skiva och usb-minne.

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av Mysterium:

Tack för ditt svar, men jag förstår inte hur det funkar. Är en bootloader något som måste installeras separat när jag installerar Ubuntu? Sedan förstår jag inte vad själva den "saken" som ska godkänna bootloadern är? Sitter den funktionen i själva UEFI:n på moderkortet?

Jag har inte koll på exakt hur det fungerar i Ubuntus installationsprogram men skulle förvänta mig att den hjälper dig att sätta upp allt (förutsatt en modern Ubuntuversion).

Ja, SecureBoot är en funktion som ingår i UEFI.

Intel i7 6850k || Asus X99-A II || Evga GTX 980Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Medlem
Plats
#Archlinux
Registrerad
Jun 2007
Skrivet av Mysterium:

Tack för ditt svar, men jag förstår inte hur det funkar. Är en bootloader något som måste installeras separat när jag installerar Ubuntu? Sedan förstår jag inte vad själva den "saken" som ska godkänna bootloadern är? Sitter den funktionen i själva UEFI:n på moderkortet?

Hela processen både UEFI samt BIOS ser mer eller mindre ut såhär.

1, Du startar datorn, BIOS/UEFI går igenom sina procedurer och sina initiala tester (POST).
2, UEFI letar efter en FAT32 partition som är bootbar och finner en bootloader som den bootar.
3, Bootloadern startar och bootar OS

Skillnaden med secureboot är att den tillåter bara en bootloader som har en viss nyckel dvs som är whitelistad helt enkelt får boota. Detta styrs med nycklarna som placeras av moderkortföretaget som fått dessa från Microsoft.

Microsoft har sedan sin nyckel i sin egna bootloader vilket då leder till att den tillåts att boota när du har secureboot igång. Vill du ha en annan bootloader som skall boota måste du gå till Microsoft som utvecklare betala nån viss summa om jag minns rätt och de ger dig rätten att boota denna.

Problem diskussionen blir nu att du måste lita på Microsoft att de inte aktiverar höger och vänster men också tillåter andra att komma in och whitelista sina egna bootloaders. Många vill heller inte göra detta pga att det ger en viss makt åt Microsoft, som säger vad du får och inte får boota med. Många har väl det i nackryggen att Microsoft evil kommer att ha som krav att användaren inte kan stänga av secureboot och sedan göra det svårt för andra OS att få sin bootloader att signeras. I slutändan kan det sluta som det gjort på plattor och mobiler där användare inte får låsa upp bootloadern för att flasha en annan ROM. Dvs du får jailbraka din egna maskin för att installera nått annat....

Bootloadern är det sista som installeras av Ubuntu under en installation och kan installeras när som helst med grub-kommando från terminalen under live system.

Arch - Makepkg, not war -||- Asus Crosshair Hero VI -||- GSkill 16GiB DDR4 15-15-15-35-1T 3600Mhz -||- AMD 1600x @ 4.1GHz -||- nVidia MSI 970 Gaming -||- Samsung 850 Pro -||- EVEGA G2 750W -||- Corsair 570x -||- Asus Xonar Essence STX -||- Sennheiser HD-650 -||
Arch Linux, one hell of a distribution.

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av Commander:

Skillnaden med secureboot är att den tillåter bara en bootloader som har en viss nyckel dvs som är whitelistad helt enkelt får boota. Detta styrs med nycklarna som placeras av moderkortföretaget som fått dessa från Microsoft.

Microsoft har sedan sin nyckel i sin egna bootloader vilket då leder till att den tillåts att boota när du har secureboot igång. Vill du ha en annan bootloader som skall boota måste du gå till Microsoft som utvecklare betala nån viss summa om jag minns rätt och de ger dig rätten att boota denna.

Så om jag har installerat Ubuntu och kan köra det, betyder det att det har en korrekt nyckel i sig som standard som släpps igenom? Dvs. finns det en nyckel i UEFI:n som Ubuntus bootloader också har och som gör att den får starta, eller måste jag lägga till något?

Skrivet av Commander:

Många vill heller inte göra detta pga att det ger en viss makt åt Microsoft, som säger vad du får och inte får boota med.

Och om man nu har så starka ideologiska skäl, klarar man sig utan secure boot?

Trädvy Permalänk
Medlem
Plats
#Archlinux
Registrerad
Jun 2007
Skrivet av Mysterium:

Så om jag har installerat Ubuntu och kan köra det, betyder det att det har en korrekt nyckel i sig som standard som släpps igenom? Dvs. finns det en nyckel i UEFI:n som Ubuntus bootloader också har och som gör att den får starta, eller måste jag lägga till något?

Och om man nu har så starka ideologiska skäl, klarar man sig utan secure boot?

Ubuntu fixar nog det automatiskt om du installerar med secure boot på (inte kollat specifikt så kanske det krävs något, bara att googla antar jag).
Om man måste ha secure boot eller inte är upp till dig och Microsoft. Hade för mig att Windows 10 krävde secure boot för att boota men Strejf sade att den inte gör det.

Själv så kör jag utan, orkar inte hålla på med det. Får någon tillgång att installera nån annan bootloader då är det redan kört enligt mig.

Arch - Makepkg, not war -||- Asus Crosshair Hero VI -||- GSkill 16GiB DDR4 15-15-15-35-1T 3600Mhz -||- AMD 1600x @ 4.1GHz -||- nVidia MSI 970 Gaming -||- Samsung 850 Pro -||- EVEGA G2 750W -||- Corsair 570x -||- Asus Xonar Essence STX -||- Sennheiser HD-650 -||
Arch Linux, one hell of a distribution.

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av Commander:

Själv så kör jag utan, orkar inte hålla på med det. Får någon tillgång att installera nån annan bootloader då är det redan kört enligt mig.

En fördel är väl just att det skulle upptäckas.

Intel i7 6850k || Asus X99-A II || Evga GTX 980Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync