* [devel] Q: pesign/UEFI @ 2017-11-23 12:07 Konstantin Lepikhov 2017-11-23 12:16 ` Anton Farygin 2017-11-23 18:05 ` Michael Shigorin 0 siblings, 2 replies; 4+ messages in thread From: Konstantin Lepikhov @ 2017-11-23 12:07 UTC (permalink / raw) To: ALT Linux Devel Mailing List Привет! А научите, как правильно пользоваться pesign в ALTLinux. С ходу понять это невозможно. Вот есть такой документ на wiki https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO Где написано, что если вы хотите что-то подписать "на коленке" через самподписанный сертфикат, то будьте добры сделайте свой ca cert, потом им подпишите signer cert и потом это все подсуньте pesign. Это все здорово, но: - Как это работает в hasher? - Как у нас подписан grub2? В сизифе я вижу что grub2-efi подписан сертификатом ALT UEFI SB Signer который выдан ALT Certification Authority. Где его взять и как это работает для локальных сборок? Если смотреть на другие дистрибутивы, то Fedora/RHEL, например, носят базу сертификатов внутри pesigner - http://pkgs.fedoraproject.org/cgit/rpms/pesign.git/tree/sources?id=ecaa79e05842e97081d7404d3af15b38ee4e54e3 У нас этой базы нет (или она есть где-то на сборочных серверах ООО?) поэтому непонятно как реализовать не находясь на сборочном сервере с нужным роялем в кустах. Пока у меня получается такой вывод при сборке: + install -pDm644 efi/fwupx64.efi /usr/src/tmp/fwupdate-buildroot/usr/lib64/efi/fwupx64.efi + '[' x86_64 == x86_64 ']' ++ mktemp pesign-XXXXXXX.efi + out=pesign-dugAhye.efi + '[' -S /var/run/pesign/socketdir/socket ']' + pesign -c 'Red Hat Test Certificate' -i /usr/src/tmp/fwupdate-buildroot/usr/lib64/efi/fwupx64.efi -o pesign-dugAhye.efi -s Could not initialize nss: The certificate/key database is in an old, unsupported format. + : + '[' -s pesign-dugAhye.efi ']' + '[' -e pesign-dugAhye.efi ']' + rm -f pesign-dugAhye.efi + echo 'pesign failed' pesign failed т.е. pesign не запущен и нужных токенов и ключей по-умолчанию в hasher нет. Спасибо! -- WBR et al. ^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Q: pesign/UEFI 2017-11-23 12:07 [devel] Q: pesign/UEFI Konstantin Lepikhov @ 2017-11-23 12:16 ` Anton Farygin 2017-11-23 12:56 ` Konstantin Lepikhov 2017-11-23 18:05 ` Michael Shigorin 1 sibling, 1 reply; 4+ messages in thread From: Anton Farygin @ 2017-11-23 12:16 UTC (permalink / raw) To: ALT Linux Devel Mailing List 23.11.2017 15:07, Konstantin Lepikhov пишет: > Привет! > > А научите, как правильно пользоваться pesign в ALTLinux. С ходу понять это > невозможно. <skip> > Спасибо! > Есть некоторая группа товарищей, которая может сделать approve на твой таск - в этом случае сборочница подпишет что нужно нашим ключём. Т.е. - делаешь тестовый таск и просишь approve от тех, кто в группе @pesign если дали, то при следующем test-only загрузчик будет signed. ^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Q: pesign/UEFI 2017-11-23 12:16 ` Anton Farygin @ 2017-11-23 12:56 ` Konstantin Lepikhov 0 siblings, 0 replies; 4+ messages in thread From: Konstantin Lepikhov @ 2017-11-23 12:56 UTC (permalink / raw) To: ALT Linux Team development discussions Hi Anton! On 23-11-17, at 03:16:21 you wrote: > 23.11.2017 15:07, Konstantin Lepikhov пишет: > > Привет! > > > > А научите, как правильно пользоваться pesign в ALTLinux. С ходу понять это > > невозможно. > <skip> > > Спасибо! > > > Есть некоторая группа товарищей, которая может сделать approve на твой > таск - в этом случае сборочница подпишет что нужно нашим ключём. > > > Т.е. - делаешь тестовый таск и просишь approve от тех, кто в группе @pesign > > если дали, то при следующем test-only загрузчик будет signed. Спасибо еще раз, так и сделаю. Но все-таки, может есть смысл сгенерить таки тестовые сертификаты для локальных сборок и запаковать их вместе с pesign, чтобы понимать, что подпись работает как надо? -- WBR et al. ^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [devel] Q: pesign/UEFI 2017-11-23 12:07 [devel] Q: pesign/UEFI Konstantin Lepikhov 2017-11-23 12:16 ` Anton Farygin @ 2017-11-23 18:05 ` Michael Shigorin 1 sibling, 0 replies; 4+ messages in thread From: Michael Shigorin @ 2017-11-23 18:05 UTC (permalink / raw) To: ALT Linux Devel Mailing List On Thu, Nov 23, 2017 at 01:07:33PM +0100, Konstantin Lepikhov wrote: > Вот есть такой документ на wiki > https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO Он про реализацию секирбута в дистрибутиве, а не как руководство майнтейнерам. Написано по мотивам заметок на манжетах и переписки, которую разрешили опубликовать (страшно там всё по-цеховому было в этом плане). > - Как это работает в hasher? > - Как у нас подписан grub2? В сизифе я вижу что grub2-efi подписан > сертификатом ALT UEFI SB Signer который выдан ALT Certification > Authority. Где его взять и как это работает для локальных сборок? Для локальных он, разумеется, недоступен по условиям UEFI CA. > Если смотреть на другие дистрибутивы, то Fedora/RHEL, например, > носят базу сертификатов внутри pesigner - > http://pkgs.fedoraproject.org/cgit/rpms/pesign.git/tree/sources?id=ecaa79e05842e97081d7404d3af15b38ee4e54e3 > У нас этой базы нет (или она есть где-то на сборочных серверах ООО?) Этой -- нету, тестовую на серверах держать смысла нет, там боевая. > поэтому непонятно как реализовать не находясь на сборочном > сервере с нужным роялем в кустах. Боюсь, у тебя быстрее получится выяснить по уже опубликованному, чем мне -- добраться и хотя бы вспомнить. Дело в том, что на pesign переезжали уже тогда, когда решили в общих чертах, как это всё интегрировать в сборочницу (и отчасти как раз по этому) -- а тестовые alt-uefi-certs делались в расчёте на sbsigntool, см. ранние варианты спека какого-нить shim или refind, точнее не помню. Наверное, их можно перегнать в формат для pesign, просто сделать для pesign новые тестовые должно быть быстрей и ничем не хуже. > Пока у меня получается такой вывод при сборке: [...] > + '[' -S /var/run/pesign/socketdir/socket ']' Вот сюда должен быть просунут сокет от серверной стороны pesign. Как именно делается в girar -- см. gb/remote/gb-remote-pesign, видимо. Ещё был причастен rpmrebuild-pesign, как напомнил ls(1). On Thu, Nov 23, 2017 at 01:56:35PM +0100, Konstantin Lepikhov wrote: > Но все-таки, может есть смысл сгенерить таки тестовые > сертификаты для локальных сборок и запаковать их вместе > с pesign, чтобы понимать, что подпись работает как надо? [ на этой точке заметил pesign-test-certs ] PS: если где-нить что-нить задокументируешь -- тоже спасибо. Просто на ранней стадии этих работ у меня ещё были надежды, что всякие там свои сертификаты (в работу, не для проверки) кому-то нужны -- ты будто первый, кто спросил за четыре года хотя бы о тестовых. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2017-11-23 18:05 UTC | newest] Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2017-11-23 12:07 [devel] Q: pesign/UEFI Konstantin Lepikhov 2017-11-23 12:16 ` Anton Farygin 2017-11-23 12:56 ` Konstantin Lepikhov 2017-11-23 18:05 ` Michael Shigorin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git