* [devel] Q: pesign/UEFI
@ 2017-11-23 12:07 Konstantin Lepikhov
2017-11-23 12:16 ` Anton Farygin
2017-11-23 18:05 ` Michael Shigorin
0 siblings, 2 replies; 4+ messages in thread
From: Konstantin Lepikhov @ 2017-11-23 12:07 UTC (permalink / raw)
To: ALT Linux Devel Mailing List
Привет!
А научите, как правильно пользоваться pesign в ALTLinux. С ходу понять это
невозможно.
Вот есть такой документ на wiki
https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
Где написано, что если вы хотите что-то подписать "на коленке" через
самподписанный сертфикат, то будьте добры сделайте свой ca cert, потом им
подпишите signer cert и потом это все подсуньте pesign. Это все здорово,
но:
- Как это работает в hasher?
- Как у нас подписан grub2? В сизифе я вижу что grub2-efi подписан
сертификатом ALT UEFI SB Signer который выдан ALT Certification
Authority. Где его взять и как это работает для локальных сборок?
Если смотреть на другие дистрибутивы, то Fedora/RHEL, например, носят базу
сертификатов внутри pesigner -
http://pkgs.fedoraproject.org/cgit/rpms/pesign.git/tree/sources?id=ecaa79e05842e97081d7404d3af15b38ee4e54e3
У нас этой базы нет (или она есть где-то на сборочных серверах ООО?)
поэтому непонятно как реализовать не находясь на сборочном сервере с
нужным роялем в кустах.
Пока у меня получается такой вывод при сборке:
+ install -pDm644 efi/fwupx64.efi /usr/src/tmp/fwupdate-buildroot/usr/lib64/efi/fwupx64.efi
+ '[' x86_64 == x86_64 ']'
++ mktemp pesign-XXXXXXX.efi
+ out=pesign-dugAhye.efi
+ '[' -S /var/run/pesign/socketdir/socket ']'
+ pesign -c 'Red Hat Test Certificate' -i /usr/src/tmp/fwupdate-buildroot/usr/lib64/efi/fwupx64.efi -o pesign-dugAhye.efi -s
Could not initialize nss: The certificate/key database is in an old, unsupported format.
+ :
+ '[' -s pesign-dugAhye.efi ']'
+ '[' -e pesign-dugAhye.efi ']'
+ rm -f pesign-dugAhye.efi
+ echo 'pesign failed'
pesign failed
т.е. pesign не запущен и нужных токенов и ключей по-умолчанию в hasher
нет.
Спасибо!
--
WBR et al.
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Q: pesign/UEFI
2017-11-23 12:07 [devel] Q: pesign/UEFI Konstantin Lepikhov
@ 2017-11-23 12:16 ` Anton Farygin
2017-11-23 12:56 ` Konstantin Lepikhov
2017-11-23 18:05 ` Michael Shigorin
1 sibling, 1 reply; 4+ messages in thread
From: Anton Farygin @ 2017-11-23 12:16 UTC (permalink / raw)
To: ALT Linux Devel Mailing List
23.11.2017 15:07, Konstantin Lepikhov пишет:
> Привет!
>
> А научите, как правильно пользоваться pesign в ALTLinux. С ходу понять это
> невозможно.
<skip>
> Спасибо!
>
Есть некоторая группа товарищей, которая может сделать approve на твой
таск - в этом случае сборочница подпишет что нужно нашим ключём.
Т.е. - делаешь тестовый таск и просишь approve от тех, кто в группе @pesign
если дали, то при следующем test-only загрузчик будет signed.
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Q: pesign/UEFI
2017-11-23 12:16 ` Anton Farygin
@ 2017-11-23 12:56 ` Konstantin Lepikhov
0 siblings, 0 replies; 4+ messages in thread
From: Konstantin Lepikhov @ 2017-11-23 12:56 UTC (permalink / raw)
To: ALT Linux Team development discussions
Hi Anton!
On 23-11-17, at 03:16:21 you wrote:
> 23.11.2017 15:07, Konstantin Lepikhov пишет:
> > Привет!
> >
> > А научите, как правильно пользоваться pesign в ALTLinux. С ходу понять это
> > невозможно.
> <skip>
> > Спасибо!
> >
> Есть некоторая группа товарищей, которая может сделать approve на твой
> таск - в этом случае сборочница подпишет что нужно нашим ключём.
>
>
> Т.е. - делаешь тестовый таск и просишь approve от тех, кто в группе @pesign
>
> если дали, то при следующем test-only загрузчик будет signed.
Спасибо еще раз, так и сделаю. Но все-таки, может есть смысл сгенерить
таки тестовые сертификаты для локальных сборок и запаковать их вместе с
pesign, чтобы понимать, что подпись работает как надо?
--
WBR et al.
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Q: pesign/UEFI
2017-11-23 12:07 [devel] Q: pesign/UEFI Konstantin Lepikhov
2017-11-23 12:16 ` Anton Farygin
@ 2017-11-23 18:05 ` Michael Shigorin
1 sibling, 0 replies; 4+ messages in thread
From: Michael Shigorin @ 2017-11-23 18:05 UTC (permalink / raw)
To: ALT Linux Devel Mailing List
On Thu, Nov 23, 2017 at 01:07:33PM +0100, Konstantin Lepikhov wrote:
> Вот есть такой документ на wiki
> https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
Он про реализацию секирбута в дистрибутиве, а не как руководство
майнтейнерам. Написано по мотивам заметок на манжетах и переписки,
которую разрешили опубликовать (страшно там всё по-цеховому было
в этом плане).
> - Как это работает в hasher?
> - Как у нас подписан grub2? В сизифе я вижу что grub2-efi подписан
> сертификатом ALT UEFI SB Signer который выдан ALT Certification
> Authority. Где его взять и как это работает для локальных сборок?
Для локальных он, разумеется, недоступен по условиям UEFI CA.
> Если смотреть на другие дистрибутивы, то Fedora/RHEL, например,
> носят базу сертификатов внутри pesigner -
> http://pkgs.fedoraproject.org/cgit/rpms/pesign.git/tree/sources?id=ecaa79e05842e97081d7404d3af15b38ee4e54e3
> У нас этой базы нет (или она есть где-то на сборочных серверах ООО?)
Этой -- нету, тестовую на серверах держать смысла нет, там боевая.
> поэтому непонятно как реализовать не находясь на сборочном
> сервере с нужным роялем в кустах.
Боюсь, у тебя быстрее получится выяснить по уже опубликованному,
чем мне -- добраться и хотя бы вспомнить. Дело в том, что на
pesign переезжали уже тогда, когда решили в общих чертах, как это
всё интегрировать в сборочницу (и отчасти как раз по этому) --
а тестовые alt-uefi-certs делались в расчёте на sbsigntool,
см. ранние варианты спека какого-нить shim или refind, точнее
не помню. Наверное, их можно перегнать в формат для pesign,
просто сделать для pesign новые тестовые должно быть быстрей
и ничем не хуже.
> Пока у меня получается такой вывод при сборке:
[...]
> + '[' -S /var/run/pesign/socketdir/socket ']'
Вот сюда должен быть просунут сокет от серверной стороны pesign.
Как именно делается в girar -- см. gb/remote/gb-remote-pesign,
видимо. Ещё был причастен rpmrebuild-pesign, как напомнил ls(1).
On Thu, Nov 23, 2017 at 01:56:35PM +0100, Konstantin Lepikhov wrote:
> Но все-таки, может есть смысл сгенерить таки тестовые
> сертификаты для локальных сборок и запаковать их вместе
> с pesign, чтобы понимать, что подпись работает как надо?
[ на этой точке заметил pesign-test-certs ]
PS: если где-нить что-нить задокументируешь -- тоже спасибо.
Просто на ранней стадии этих работ у меня ещё были надежды,
что всякие там свои сертификаты (в работу, не для проверки)
кому-то нужны -- ты будто первый, кто спросил за четыре года
хотя бы о тестовых.
--
---- WBR, Michael Shigorin / http://altlinux.org
------ http://opennet.ru / http://anna-news.info
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2017-11-23 18:05 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2017-11-23 12:07 [devel] Q: pesign/UEFI Konstantin Lepikhov
2017-11-23 12:16 ` Anton Farygin
2017-11-23 12:56 ` Konstantin Lepikhov
2017-11-23 18:05 ` Michael Shigorin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git