From: Michael Shigorin <mike@osdn.org.ua> To: sisyphus@lists.altlinux.org Subject: [sisyphus] I: initial signed UEFI bootloader support Date: Thu, 10 Jan 2013 01:43:40 +0200 Message-ID: <20130109234340.GU9659@osdn.org.ua> (raw) Здравствуйте. В ночь на сегодня наконец сложились кусочки и получилось http://ftp.linux.kiev.ua/pub/Linux/ALT/people/mike/iso/mkimage-profiles/half-/20130110/regular-e17-20130110-x86_64.iso -- по идее, этот образ способен загружаться на UEFI firmware с неотключенным Secure Boot (aka Restricted Boot). Если фирмварь предоставляет возможность бэкапа существующих баз на флэшку, стоит ей воспользоваться. Перед первой загрузкой собственно ядра потребуется добавить сгенерированный и опубликованный мной в составе пакета alt-uefi-keys ключ как Machine Owner Key[!], как описано здесь: http://www.rodsbooks.com/efi-bootloaders/secureboot.html (пп. 13--18). При успешной загрузке первой строчкой будет "Binary is whitelisted" или "Secure boot not enabled". [!] поскольку опубликована также и *приватная* часть ключа (в составе alt-uefi-keys-private), это в принципе может привести к тому, что когда-то кто-то подпишет этим ключом зловредный код и убедит вас запустить его как загрузочный; предложения по организации подписывания загрузчиков принимаются, текущий "рабочий" вектор -- вслед за федорой выделить отдельное сборочное окружение и в дальнейшем обеспечить доступность из него HSM вроде yubikey. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
next reply other threads:[~2013-01-09 23:43 UTC|newest] Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top 2013-01-09 23:43 Michael Shigorin [this message] 2013-01-10 4:51 ` Ildar Mulyukov 2013-01-10 10:39 ` Michael Shigorin 2013-01-10 10:29 ` Michael Shigorin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20130109234340.GU9659@osdn.org.ua \ --to=mike@osdn.org.ua \ --cc=shigorin@gmail.com \ --cc=sisyphus@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git