From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 23 Nov 2017 21:05:58 +0300 From: Michael Shigorin To: ALT Linux Devel Mailing List Message-ID: <20171123180558.GB24537@imap.altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20171123125635.GA20090@lks.home> <20171123120732.GB13450@lks.home> User-Agent: Mutt/1.5.23.88.hg577987ca2d02 (2014-03-12) Subject: Re: [devel] Q: pesign/UEFI X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 23 Nov 2017 18:05:59 -0000 Archived-At: List-Archive: List-Post: On Thu, Nov 23, 2017 at 01:07:33PM +0100, Konstantin Lepikhov wrote: > Вот есть такой документ на wiki > https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO Он про реализацию секирбута в дистрибутиве, а не как руководство майнтейнерам. Написано по мотивам заметок на манжетах и переписки, которую разрешили опубликовать (страшно там всё по-цеховому было в этом плане). > - Как это работает в hasher? > - Как у нас подписан grub2? В сизифе я вижу что grub2-efi подписан > сертификатом ALT UEFI SB Signer который выдан ALT Certification > Authority. Где его взять и как это работает для локальных сборок? Для локальных он, разумеется, недоступен по условиям UEFI CA. > Если смотреть на другие дистрибутивы, то Fedora/RHEL, например, > носят базу сертификатов внутри pesigner - > http://pkgs.fedoraproject.org/cgit/rpms/pesign.git/tree/sources?id=ecaa79e05842e97081d7404d3af15b38ee4e54e3 > У нас этой базы нет (или она есть где-то на сборочных серверах ООО?) Этой -- нету, тестовую на серверах держать смысла нет, там боевая. > поэтому непонятно как реализовать не находясь на сборочном > сервере с нужным роялем в кустах. Боюсь, у тебя быстрее получится выяснить по уже опубликованному, чем мне -- добраться и хотя бы вспомнить. Дело в том, что на pesign переезжали уже тогда, когда решили в общих чертах, как это всё интегрировать в сборочницу (и отчасти как раз по этому) -- а тестовые alt-uefi-certs делались в расчёте на sbsigntool, см. ранние варианты спека какого-нить shim или refind, точнее не помню. Наверное, их можно перегнать в формат для pesign, просто сделать для pesign новые тестовые должно быть быстрей и ничем не хуже. > Пока у меня получается такой вывод при сборке: [...] > + '[' -S /var/run/pesign/socketdir/socket ']' Вот сюда должен быть просунут сокет от серверной стороны pesign. Как именно делается в girar -- см. gb/remote/gb-remote-pesign, видимо. Ещё был причастен rpmrebuild-pesign, как напомнил ls(1). On Thu, Nov 23, 2017 at 01:56:35PM +0100, Konstantin Lepikhov wrote: > Но все-таки, может есть смысл сгенерить таки тестовые > сертификаты для локальных сборок и запаковать их вместе > с pesign, чтобы понимать, что подпись работает как надо? [ на этой точке заметил pesign-test-certs ] PS: если где-нить что-нить задокументируешь -- тоже спасибо. Просто на ранней стадии этих работ у меня ещё были надежды, что всякие там свои сертификаты (в работу, не для проверки) кому-то нужны -- ты будто первый, кто спросил за четыре года хотя бы о тестовых. --  ---- WBR, Michael Shigorin / http://altlinux.org   ------ http://opennet.ru / http://anna-news.info