Почему меня попросили создать пароль для отключения безопасной загрузки при начальной установке Ubuntu 16.04?

30

При первоначальной установке Ubuntu 16.04 я установил флажок «Установить стороннее программное обеспечение», и под ним мне предложили отметить другой параметр, который позволял бы пакету ОС автоматически отключать безопасную загрузку самостоятельно, обязательным условием которого было создание пароля, который каким-то образом позволил бы всему этому процессу произойти.

После продолжения установки мне никогда не давали никаких указаний на то, что произошло отключение безопасной загрузки, и мне никогда не предлагалось ввести созданный мной пароль.

После успешной установки ОС я перезагрузил компьютер и проверил BIOS. В BIOS безопасная загрузка все еще была включена. Однако, вернувшись в Ubuntu, я могу без проблем воспроизводить файлы MP3 и Flash, что, как я полагаю, указывает на успешную установку стороннего программного обеспечения.

Я еще не сталкивался с какими-либо проблемами (за исключением того факта, что пользовательский интерфейс иногда был немного привередлив и глючил), но я хотел бы знать, чего на самом деле я достиг, создав этот пароль.

Что случилось с паролем, который я создал? Нужно ли будет помнить это по какой-либо причине? Это не то же самое, что мой логин / пароль sudo.

Ubuntu постоянно редактировал мой BIOS, чтобы сделать для себя исключение? Если да, как я могу просмотреть эти изменения и, возможно, отменить их? Это где пароль будет входить?

Почему Ubuntu все равно нужно отключить / пропустить безопасную загрузку, чтобы установить пакет ubuntu-limited-extras? Моя установка в порядке? Я настроился на будущие проблемы? Должен ли я попробовать переустановить с отключенной безопасной загрузкой вручную, чтобы не получать это приглашение?

Дополнительная информация: Я использую систему UEFI и работаю с двойной загрузкой Ubuntu 16.04 вместе с Windows 10.

Другой пользователь задал вопрос о подобной проблеме здесь. В отличие от этого пользователя, я не получаю предупреждение о «загрузке в небезопасном режиме», но я также хотел бы знать, создал ли Ubuntu исключение для себя и как я могу управлять такими исключениями. В отличие от меня, этот пользователь не упомянул ничего о необходимости создания пароля.

Мне удалось воспроизвести диалоговое окно. Вот.

Вот некоторая дополнительная информация.

dual-boot uefi password secure-boot Cosmo
источник
1
Ubuntu 16.04 внесла некоторые изменения в обработку Secure Boot, которые мне еще предстоит полностью изучить; однако кое-что из того, что я знаю, есть в моем ответе на этот вопрос. Мне было бы интересно увидеть ваш вывод в команду hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. Последняя цифра в первой строке (0 или 1) указывает на ваш статус безопасной загрузки (неактивный или активный).
Род Смит
1
0000000 0006 0000 0001 0000005Похоже, это определенно активно. Обратите внимание, что я отключил и снова включил его пару раз, чтобы увидеть, что произойдет, и ничего не произошло. Опять же, пока все идет хорошо, я боюсь, что что-то может пойти не так в будущем. После прочтения некоторой документации кажется, что временный пароль должен действовать как своего рода суррогат для безопасной загрузки, а не как Ubuntu, напрямую поддерживающая эту функцию. Учитывая, что меня никогда не просили об этом снова, я думаю, что эта функция неполная / прослушена.
Cosmo
1
Просто хедз-ап, я могу ошибаться из-за того, что временный пароль является суррогатом для безопасной загрузки. Это все, что я могу понять без дополнительной информации, которую я не смог найти. Что вы думаете?
Cosmo
1
Боюсь, у меня нет дальнейших мыслей по этому вопросу. Мне потребуется некоторое время и усилия, чтобы исследовать эти недавние изменения.
Род Смит
1
Для безопасной загрузки требуется пароль, он не может быть пустым и требует какой-либо аутентификации. Вот почему сетевые администраторы оставляют защищенные компьютерные системы без пароля для учетной записи администратора, потому что вы не можете удаленно войти без пароля.
Дориан

Ответы:

7

UEFI Secure Boot защищает ваш загрузчик от подделки с помощью комбинации ключей CA и подписей в загрузочных файлах. Например, Microsoft подписала загрузчики, для которых ключи CA уже присутствуют в прошивках UEFI большинства ПК.

Это защищает только самое раннее ядро ​​загрузчика и ничего позже. Например, initrd (initramfs) не защищен или что-то после (GRUB, ядро, модули, драйверы, что-либо в пользовательском пространстве и т. Д.).

Программное обеспечение сторонних производителей, которое вы установили, МОЖЕТ включать определенный низкоуровневый код PCI или RAID, необходимый для загрузчика, поэтому вам необходимо создать пароль, который создаст ключ в пространстве прошивки UEFI. После изменений, если система замечает что-то другое во время загрузки, BIOS останавливается на POST и запрашивает тот же пароль, который вы ввели во время установки, чтобы доказать, что именно вы установили программное обеспечение. Этот метод гарантирует, что пользователь, физически сидящий за компьютером, вводит этот пароль в качестве подтверждения, поскольку никакое программное обеспечение не может быть загружено во время BIOS POST, чтобы подделать это.

Для большинства пользовательских систем безопасная загрузка мало что делает для вашей защиты. Это не предотвращает вирусы или вредоносные программы, или их установку. Все, что он делает, это предотвращает низкоуровневое вмешательство загрузчика, которое обычно предотвращается базовым антивирусом или безопасностью ОС. По моему мнению, и согласно большинству документации, это может быть безопасно отключено.

Дориан
источник
Похоже, это может быть ответ, который я ищу! Поэтому, несмотря на создание пароля, меня никогда не спросят, если я не внесу изменения в свой BIOS?
Cosmo
1
Не совсем. Вас могут попросить об этом, если вы установите что-то, что изменяет загрузчик, что проверяет прошивка UEFI при каждой загрузке и сравнивает сигнатуры этих файлов с хранимыми ключами в своей базе данных.
Дориан
1
Разве вы не имеете в виду, «для большинства видов атак безопасная загрузка мало что вас защищает?»
jpaugh
1
@jpaugh Вы можете использовать слово «атака». Тем не менее, большинство инфекций / вирусов / вредоносных программ не считается прямой атакой, так как обычно эти вещи просто устанавливаются в дикой природе, чтобы заразить и распространить их всех, и никого конкретно. Но да, если кто-то получит доступ к вашей системе удаленно и попытается запутаться в вашей загрузке, это будет считаться атакой.
Дориан
1
Команды @Cosmo grub не должны его отключать, поскольку они запускаются в памяти после того, как grub уже загружен. Но, возможно, команда, которую вы запускаете, пытается запустить модуль, который раньше не запускался, то есть отключает аварийные сигналы UEFI ... У вас просто запрашивают пароль из BIOS? Если вы отключите безопасную загрузку в BIOS, он запускается без запроса?
Дориан