انجمنهای فارسی اوبونتو
خبرها => لینکهای خبری => نویسنده: Dr.Code در 18 تیر 1401، 11:52 قظ
-
سلام بروبچ
https://mjg59.dreamwidth.org/59931.html
این لینک میگه که لپ تاپهای جدید فقط ویندوز رو بوت میکنن!
نظر شما چیه؟
آیا توی لپتاپهای نسل جدید دیگه نمیتونیم لینوکس بریزیم؟ ](*,)
-
ببخشید ولی همین الآن هم فقط ویندوز را بوت میکنند و این قضیه مال قدیم است.
باید برای نصب لینوکس گزینه security boot را غیر فعال کنیم تا لینوکس بوت بشه
-
نه برای من فعاله ولی لینوکس بوت میشه
-
نه برای من فعاله ولی لینوکس بوت میشه
پس لپتاپت را ببر درست کن که security boot تش خراب است :o
-
خراب نیست، بعضی توزیع ها یه بوتلودر ساین شده دارن که گراب رو بوت میکنه که اگه سکیور بوت فعال باشه هم بالا بیاد.
-
چیز جدیدی نیست متأسفانه.
-
به نظر میاد به طور پیشفرض، firmware فقط چیزی رو بوت میکنه که توسط کلید secure boot مایکروسافت امضا شده. فقط اون کلیدی که مایکروسافت برای امضا محصولا خودش استفاده میکنه.
مایکروسافت دوتا کلید secure boot داره. با یکی از اونها محصولات خودش رو امضا میکنه و با اون یکی، فایلهای بقیه رو امضا میکنه.
یکی از اینها سال ۲۰۱۱ لو رفت ولی منتشر نشد. هرچند یه بدافزار که با اون امضا شده وجود داره.
ببخشید ولی همین الآن هم فقط ویندوز را بوت میکنند و این قضیه مال قدیم است.
باید برای نصب لینوکس گزینه security boot را غیر فعال کنیم تا لینوکس بوت بشه
نه. برای بعضی توزیعها لازم نیست secure boot رو غیرفعال کرد. اوبونتو از نسخه ۱۲.۰۴، دبیان فکر کنم از نسخه ۹ یا ۱۰ از secure boot پشتیبانی میکنه.
فدورا، rhel و opensuse هم باید پشتیبانی کنند.
آرچ به طور پیشفرض پشتیبانی نمیکنه ولی shim توی aur هست و میشه با نصب اون، پشتیانی از secure boot رو به آرچ اضافه کرد.
نحوه بوت به این شکل هست که firmware اول shim رو اجرا میکنه، بعد shim سعی میکنه بوتلودر (در بیشتر مواقع گراب) رو اجرا کنه. بوتلودر کرنل و initramfs رو توی حافظه بارگذاری و کرنل رو اجرا میکنه.
البته کارها یکم پیچیدهتر از این هستند، ولی به طور کلی، این مسیر طی میشه.
حتی میشه کلا کلیدهای secure boot رو تعویض کرد. من که همین کار رو کردم. ولی اینکار توی بعضی لپتاپها میتونه مشکل درست کنه.
خراب نیست، بعضی توزیع ها یه بوتلودر ساین شده دارن که گراب رو بوت میکنه که اگه سکیور بوت فعال باشه هم بالا بیاد.
معمولا بوتلودر با کلید مایکروسافت امضا نشده. بلکه با یه کلید مربوط به توزیع امضا شده. اون shim هست که با کلید مایکروسافت امضا میشه.
به preloader هم هست که کار همین shim رو انجام میده، ولی فکر کنم دیگه توسعه پیدا نمیکنه و توسعهدهندههاش رفتند سراغ shim.
-
درسته، منظورم همون برنامه کوچیک ساین شده توسط کلید مایکروسافت بود که بوتلودر رو بوت میکنه
-
ساین شده -> امضا شده
اینکه متوجه شدندش سخت نیست. مفهوم رو هم خوب میرسونه.
-
درسته، ممنونم
-
ویندوز خیلی توی امنیت ضعیفه درسته اوپن سورس نیست ولی من احتمال میدم لو بره.
دیر یا زود داره ولی سوخت و سوز نداره.
البته فکر کنم مایکروسافت توی این یه مورد خیلی پول خرج میکنه
-
اگه اون کلیدها لو بره، secure boot میره هوا. مایکروسافت باید کلید جدید بسازه و همه کامپیوترهای uefi که از ۲۰۱۱ به بعد تولید شدند باید بروزرسانی firmware دریافت کنند تا کلیدهای قبلی از اونها پاک بشه و کلیدهای جدید رو بشناسن.
در غیر اینصورت، secure boot برای اونها هیچ امنیتی نمیاره چون هر کسی میتونه بدافزار خودش رو با اون کلید امضا و منتشر کنه.
اون بدافزار هم میتونه خیلی راحت توی محیط secure boot اجرا بشه.
-
secure boot نمیره هوا
کل مایکروسافت میره فنا
تصورش برام سخته هر لحظه مشکلات زیادی به ذهنم میرسه که بعدش به وجود میاد
-
نه میکروب سافت با لو رفتن چیزی هوا نمیره اگه اینطوری بود ده ها سال پیش باید میرفت هوا ! جون سخت تر از این حرف هاست !
-
اگه اون کلیدها لو بره، secure boot میره هوا. مایکروسافت باید کلید جدید بسازه و همه کامپیوترهای uefi که از ۲۰۱۱ به بعد تولید شدند باید بروزرسانی firmware دریافت کنند تا کلیدهای قبلی از اونها پاک بشه و کلیدهای جدید رو بشناسن.
در غیر اینصورت، secure boot برای اونها هیچ امنیتی نمیاره چون هر کسی میتونه بدافزار خودش رو با اون کلید امضا و منتشر کنه.
اون بدافزار هم میتونه خیلی راحت توی محیط secure boot اجرا بشه.
همین الآنش هم رفته هوا دیگه… نرفته؟
هر بدافزاری میتونه از shim امضا شده به دست مایکروسافت استفاده کنه!
-
یاد جوابیه انلاین تست کرونا افتادم
جواب که از سایتش می گرفتی دقیقا همون کاغذی بود به جای امضا از امضای دکتر عکس گرفته بودن گذاشته بودن رو اون :D
اینجا هم همونه لازم نیست کلید لو بره خود امضا رو رفته !
-
همین الآنش هم رفته هوا دیگه… نرفته؟
هر بدافزاری میتونه از shim امضا شده به دست مایکروسافت استفاده کنه!
shim اول سعی میکنه امضای فایل اجرایی رو با کلیدهای داخل firmware بررسی کنه. اگه توسط اونها تائید نشه، از کلیدهای خودش و mok استفاده میکنه و اگه توسط اونها ام تایید نشه، چیزی رو بوت نمیکنه.
کلیدهای خودش موقع کامپایل داخلش قرار میگیرن. کلیدهای mok هم روی چیپهای مادربرد ذخیره میشن. برای تغییر اونها، دسترسی فیزیکی لازمه.
اینجا (https://askubuntu.com/questions/951040/how-shim-verifies-binaries-in-secure-boot#951115) یکی از کارمندهای کنونیکال طولانی توضیح داده که shim چجوری فایلها رو تائید میکنه.
پس بدافزارها نمیتونند از shim برای بوت شدن استفاده کنند. مگه اینکه خود بدافزار توسط کلیدی که داخل shim یا mok هست امضا شده باشه.
یاد جوابیه انلاین تست کرونا افتادم
جواب که از سایتش می گرفتی دقیقا همون کاغذی بود به جای امضا از امضای دکتر عکس گرفته بودن گذاشته بودن رو اون :D
اینجا هم همونه لازم نیست کلید لو بره خود امضا رو رفته !
امضای دیجیتال مثل امضای معمولی نیست.
-
دوستان باور کنید خوب بودن لینوکس معنیش این نیست که یه سری کمعقل بیسواد دارن توی مایکروسافت و امثاله کار میکنن. درسته که به خاطر سیاستهای انحصارطلبانه، تصمیماتی گرفتهن که باعث شده یه سری ضعفها و محدودیتهای احمقانه و غیرضروری واسه دنیای رایانه بوجود بیاد اما در هر صورت که اونا هم کارشونو بلدن. به هیچ وجه قصد ندارم تأیید یا تحسینشون کنم اما به هر حال کمپانیهای چند صد میلیارد دلاری با چند ده هزار کارمند و چند دهه سابقه و چند ده شعبه در تمام کرهی زمین، همینطوری و شانسکی و رو هوا به اینجاها نرسیدهن.