Dlaczego poproszono mnie o utworzenie hasła w celu wyłączenia bezpiecznego rozruchu przy pierwszej instalacji Ubuntu 16.04?

30

Podczas początkowej instalacji Ubuntu 16.04 zaznaczyłem opcję „Zainstaluj oprogramowanie innych firm”, a pod nim zostałem poproszony o zaznaczenie innej opcji, która pozwoliłaby pakietowi systemowemu na automatyczne wyłączenie bezpiecznego rozruchu we własnym zakresie, którego warunkiem było: utworzenie hasła, które w jakiś sposób pozwoliłoby na przeprowadzenie całego procesu.

Po kontynuowaniu instalacji nigdy nie otrzymałem żadnej wskazówki, że nastąpiło wyłączenie bezpiecznego rozruchu, ani nigdy nie otrzymałem monitu o podanie hasła, które utworzyłem.

Po pomyślnej instalacji systemu operacyjnego ponownie uruchomiłem komputer i sprawdziłem BIOS. W systemie BIOS bezpieczny rozruch nadal był włączony. Jednak w Ubuntu jestem w stanie płynnie odtwarzać pliki MP3 i Flash, co, jak zakładam, wskazuje, że instalacja oprogramowania innych firm zakończyła się powodzeniem.

Do tej pory nie napotkałem żadnych problemów (poza faktem, że interfejs użytkownika był czasami nieco wyrafinowany i błędny), ale chciałbym wiedzieć, co na Ziemi właściwie osiągnąłem, tworząc to hasło.

Co się stało z hasłem, które utworzyłem? Czy będę musiał to zapamiętać z jakiegokolwiek powodu? To nie to samo, co moje hasło logowania / sudo.

Czy Ubuntu na stałe edytowało mój BIOS, aby zrobić wyjątek dla siebie? Jeśli tak, jak mogę wyświetlić te zmiany i potencjalnie je cofnąć? Czy tam właśnie trafiłoby hasło?

Dlaczego Ubuntu musi wyłączyć / ominąć bezpieczny rozruch, aby mimo to zainstalować pakiet dodatków z ograniczeniami ubuntu? Czy moja instalacja jest w porządku? Czy przygotowałem się na przyszłe problemy? Czy powinienem spróbować ponownie zainstalować przy wyłączonym ręcznie bezpiecznym rozruchu, aby nie otrzymywać tego monitu?

Informacje dodatkowe: Korzystam z systemu UEFI i uruchamiam system Ubuntu 16.04 z podwójnym uruchamianiem wraz z systemem Windows 10.

Inny użytkownik zadał tutaj pytanie dotyczące podobnego problemu. W przeciwieństwie do tego użytkownika, nie otrzymuję ostrzeżenia o „uruchamianiu w trybie niepewnym”, ale chciałbym również wiedzieć, czy Ubuntu stworzył dla siebie wyjątek i jak mógłbym zarządzać takimi wyjątkami. W przeciwieństwie do mnie ten użytkownik nie wspomniał nic o konieczności utworzenia hasła.

Udało mi się zreplikować okno dialogowe. Oto jest

Oto kilka dodatkowych informacji.

dual-boot uefi password secure-boot Cosmo
źródło
1
Ubuntu 16.04 wprowadził pewne zmiany w obsłudze Bezpiecznego rozruchu, których sam jeszcze nie zbadałem; jednak część tego, co wiem, znajduje się w mojej odpowiedzi na to pytanie. Byłbym zainteresowany, aby zobaczyć twój wynik polecenia hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. Ostatnia cyfra w pierwszym wierszu (0 lub 1) wskazuje status bezpiecznego rozruchu (nieaktywny lub aktywny).
Rod Smith
1
0000000 0006 0000 0001 0000005Wygląda na to, że jest zdecydowanie aktywny. Zauważ, że kilka razy wyłączyłem i ponownie włączyłem, aby zobaczyć, czy coś się stanie i nic nie zrobiłem. Ponownie, jak dotąd wszystko działa dobrze, obawiam się tylko, że coś może pójść nie tak w przyszłości. Po przeczytaniu dokumentacji wydaje się, że tymczasowe hasło ma działać jako rodzaj surogatu dla bezpiecznego rozruchu, a nie Ubuntu bezpośrednio obsługujące samą funkcję. Biorąc pod uwagę, że nigdy więcej nie zostałem o to poproszony, zgaduję, że funkcja jest niekompletna / błędna.
Cosmo
1
Tylko heads-up, mogę się mylić, że tymczasowe hasło jest surogatem dla bezpiecznego rozruchu. To wszystko, co potrafię zrozumieć, jako brak dodatkowych informacji, których nie udało mi się znaleźć. Co myślisz?
Cosmo
1
Obawiam się, że nie mam dalszych przemyśleń na ten temat. Zajmie mi trochę czasu i wysiłku, aby zbadać te ostatnie zmiany.
Rod Smith
1
Bezpieczny rozruch wymaga hasła, nie może być puste i wymaga pewnego rodzaju uwierzytelnienia. Dlatego administratorzy sieci pozostawiają zabezpieczone systemy komputerowe bez hasła do konta administratora, ponieważ nie można zalogować się zdalnie bez hasła.
Dorian,

Odpowiedzi:

7

UEFI Secure Boot chroni program ładujący przed ingerencją przy użyciu kombinacji kluczy CA i podpisów w plikach rozruchowych. Microsoft na przykład podpisał programy ładujące, dla których klucze CA są już obecne w oprogramowaniu układowym UEFI większości komputerów.

Chroni to tylko bardzo wczesny rdzeń ładowarki i nic później. Na przykład initrd (initramfs) nie jest chroniony ani nic po nim (GRUB, jądro, moduły, sterowniki, cokolwiek w przestrzeni użytkownika itp.).

Oprogramowanie innej firmy, które zainstalowałeś, może zawierać kod niskiego poziomu PCI lub RAID wymagany dla modułu ładującego, dlatego musisz utworzyć hasło, które utworzy klucz w przestrzeni oprogramowania układowego UEFI. Po modyfikacji, jeśli system zauważy coś innego w czasie uruchamiania, BIOS zatrzyma się w POST i poprosi o podanie tego samego hasła, które podałeś podczas instalacji, aby udowodnić, że to ty zainstalowałeś oprogramowanie. Ta metoda zapewnia, że ​​użytkownik fizycznie siedzący przy komputerze wprowadza to hasło jako potwierdzenie, ponieważ żadne oprogramowanie nie może zostać załadowane w czasie BIOS POST, aby je sfałszować.

W przypadku większości systemów użytkownika bezpieczny rozruch niewiele chroni. Nie zapobiega wirusom, złośliwemu oprogramowaniu ani ich instalowaniu. Dzięki temu zapobiega manipulowaniu niskopoziomowym programem ładującym, któremu zwykle chroni podstawowe oprogramowanie antywirusowe lub system operacyjny. Moim zdaniem i zgodnie z większością dostępnej dokumentacji można go bezpiecznie wyłączyć.

dorycki
źródło
Wygląda na to, że to może być odpowiedź, której szukam! Więc pomimo utworzenia hasła, nigdy nie mogę zostać o to poproszony, chyba że dokonam modyfikacji w BIOS-ie?
Cosmo
1
Nie do końca. Możesz zostać o to poproszony, jeśli zainstalujesz coś, co modyfikuje moduł ładujący, co sprawdza oprogramowanie układowe UEFI przy każdym uruchomieniu i porównuje sygnatury tych plików z kluczami przechowywanymi w bazie danych.
Dorian
1
Czy nie masz na myśli: „w przypadku większości rodzajów ataków bezpieczny rozruch niewiele robi, aby cię chronić?”
jpaugh
1
@jpaugh Myślę, że możesz użyć słowa atak. Jednak większość infekcji / wirusów / złośliwego oprogramowania nie jest uważana za bezpośredni atak, ponieważ zwykle te rzeczy są po prostu na wolności, aby zainfekować i rozprzestrzenić się na wszystkich, a szczególnie na nikogo. Ale tak, ktoś uzyskujący dostęp do twojego systemu zdalnie i próbujący zepsuć się twoim bootem, byłby uważany za atak.
Dorian
1
Komendy Grub @Cosmo nie powinny go wyłączać, ponieważ działa ono w pamięci po załadowaniu gruba. Ale być może polecenie, które uruchamiasz, próbuje uruchomić moduł, który wcześniej nie działał, co powoduje alarmy UEFI ... Czy po prostu pojawia się monit o hasło z BIOS-u? Jeśli wyłączysz bezpieczny rozruch w systemie BIOS, czy będzie on uruchamiany bez monitu?
Dorian