Ir ao conteúdo
  • Cadastre-se

Procurem usar Secure Boot no Linux quando possível


Posts recomendados

Travo uma batalha aqui no fórum para que o pessoal pare de instalar sistemas operacionais no modo Legacy/CSM, que emula uma relíquia dos anos 80, milagrosamente ainda viva (tomara que por pouco tempo). UEFI passou a ser requerida pelo Windows 8, lançado em 2012. Todas as máquinas que tenham vindo com Windows 8 ou superiores de fábrica possuem firmware capaz de inicializar via UEFI. E não só isso: com Secure Boot habilitado por padrão.

 

O problema fica por conta das placas-mãe avulsas, que sabe-se lá por qual motivo estão demorando séculos para usarem como padrão o modo UEFI. Tem alguns fabricantes que para espanto geral ainda configuram por padrão o modo Legacy/CSM, completo absurdo em pleno 2020.

 

O ecossistema Linux adaptou-se rápido ao mundo UEFI. Contudo, Secure Boot demorou alguns anos. Hoje, as principais distribuições mãe são compatíveis sem necessidade de configuração alguma: Debian (a partir da versão 10), Ubuntu, Fedora/CentOS, openSUSE.

 

Há, contudo, uma restrição ao usar o recurso: apenas módulos do kernel presentes no repositório são aceitos, pois são assinados com a chave da distribuição. Aquele módulo caseiro não funcionará, pois quebraria a cadeia de confiança estabelecida: firmware confia no Shim, Shim confia no GRUB, GRUB confia no kernel, kernel confia nos módulos. Não sei como comportam-se os drivers proprietários da nVidia. Parece ser possível assinar módulos caseiros, compilados na mão, com uma chave própria e adicioná-la ao banco MOK (um processo manual), que é levado em conta pelo kernel. Trata-se de configuração avançada, no entanto, inviável para leigos.

 

Caso isso não seja problema para você, recomendo instalar seu Linux com Secure Boot ativo no "BIOS". Por quê? Por isto:

 

Citação

Preventative Mitigations

 

NOTE: The mitigations that follow are not meant to protect against the initial access vector. The mitigations are designed to prevent Drovorub’s persistence and hiding technique only.

 

Apply Linux Updates

 

System administrators should continually check for and run the latest version of vendor-supplied software for computer systems in order to take advantage of software advancements and the latest security detection and mitigation safeguards (National Security Agency, 2018). System administrators should update to Linux Kernel 3.7 or later in order to take full advantage of kernel signing enforcement.

 

Prevent Untrusted Kernel Modules

 

System owners are advised to configure systems to load only modules with a valid digital signature making it more difficult for an actor to introduce a malicious kernel module into the system. An adversary could use a malicious kernel module to control the system, hide, or persist across reboots (National Security Agency, 2017).

 

Activating UEFI Secure Boot is necessary to ensure that only signed kernel modules can be loaded. This requires a UEFI-compliant platform configured in UEFI native mode (not legacy or compatibility modes) in Thorough or Full enforcement mode. Once enabled, Secure Boot creates an integrity chain at boot by verifying signatures of firmware, bootloader(s), and Machine Owner Key (MOK). The kernel, initial filesystem, and kernel modules are then verified by this MOK, which is distributed with Secure Boot-ready Linux distributions. Components with untrusted or absent signatures are denied from execution by Secure Boot policy. Enabling Secure Boot may prevent some products from loading, potentially affecting system functionality, and may require custom configuration (National Security Agency, 2017).

 

https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

 

Se, por outro lado, for um problema, não use Legacy/CSM: use UEFI sem Secure Boot!

 

Dica: uma vez instalado em UEFI, você pode testar habilitando e desabilitando Secure Boot à vontade. Não causará problema na sua instalação.

  • Curtir 3
Link para o comentário
Compartilhar em outros sites

Sim, a especificação permite os dois formatos. Porém os instaladores da maioria dos sistemas (todos?) usam GPT ao detectarem inicialização via UEFI. Para que perder tempo com velharia, né? 😄

Link para o comentário
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Como se tornar um desenvolvedor full-stack

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!