Perché mi è stato chiesto di creare una password per disabilitare l'avvio sicuro all'installazione iniziale di Ubuntu 16.04?

30

Al momento dell'installazione iniziale di Ubuntu 16.04, ho spuntato "Installa software di terze parti" e, sotto di esso, mi è stato chiesto di spuntare un'altra opzione che consentirebbe al pacchetto del sistema operativo di disabilitare automaticamente l'avvio protetto da solo, un prerequisito del quale era la creazione di una password che in qualche modo consentirebbe che si verifichi l'intero processo.

Dopo aver continuato con l'installazione, non mi è mai stata data alcuna indicazione che si fosse verificata questa disabilitazione dell'avvio protetto, né mi è stato mai richiesto di inserire la password che avevo creato.

Dopo una corretta installazione del sistema operativo, ho riavviato il mio computer e verificato il BIOS. Nel BIOS, l'avvio sicuro era ancora abilitato. Tuttavia, tornando a Ubuntu, sono in grado di riprodurre senza problemi file MP3 e Flash, che presumo indicano che l'installazione di software di terze parti ha avuto successo.

Non ho ancora riscontrato alcun problema (a parte il fatto che l'interfaccia utente è stata un po 'schizzinosa e buggy a volte), ma vorrei sapere cosa sulla Terra ho effettivamente realizzato creando quella password.

Che cosa è successo alla password che ho creato? Dovrò ricordarlo per qualsiasi motivo? Non è uguale alla mia password di accesso / sudo.

Ubuntu ha modificato in modo permanente il mio BIOS per fare un'eccezione? In tal caso, come posso visualizzare queste modifiche e potenzialmente annullarle? È qui che entra la password?

Perché Ubuntu deve disabilitare / bypassare l'avvio sicuro per installare comunque il pacchetto ubuntu-limited-extras? La mia installazione è a posto? Mi sono preparato per problemi futuri? Dovrei provare a reinstallare con l'avvio sicuro disabilitato manualmente per non ricevere prima quel prompt?

Ulteriori informazioni: sto eseguendo un sistema UEFI e sto eseguendo il doppio avvio di Ubuntu 16.04 insieme a Windows 10.

Un altro utente ha posto una domanda su un problema simile qui. A differenza di questo utente, non ricevo un avviso sull'avvio in modalità non sicura, ma vorrei anche sapere se Ubuntu ha creato un'eccezione per sé e come posso gestire tali eccezioni. Diversamente da me, questo utente non ha menzionato nulla sulla necessità di creare una password.

Sono riuscito a replicare la finestra di dialogo. Ecco qui.

Ecco alcune informazioni aggiuntive.

dual-boot  uefi  password  secure-boot 
Cosmo
fonte
1
Ubuntu 16.04 ha apportato alcune modifiche alla gestione di Secure Boot che devo ancora esplorare completamente me stesso; tuttavia, parte di ciò che so è nella mia risposta a questa domanda. Sarei interessato a vedere il tuo output al comando hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. L'ultima cifra sulla prima riga (0 o 1) indica lo stato di avvio protetto (inattivo o attivo).
Rod Smith,
1
0000000 0006 0000 0001 0000005Sembra decisamente attivo. Nota che l'ho disabilitato e riattivato un paio di volte per vedere se sarebbe successo qualcosa e nulla è successo. Ancora una volta, tutto funziona bene finora, la mia unica paura è che qualcosa possa andare storto in futuro. Dopo aver letto della documentazione, sembra che la password temporanea debba fungere da surrogato per l'avvio sicuro piuttosto che Ubuntu che supporta direttamente la funzione stessa. Considerando che non mi è mai stato chiesto di nuovo, la mia ipotesi migliore è che la funzione sia incompleta / disturbata.
Cosmo,
1
Solo un avvertimento, potrei sbagliarmi sul fatto che la password temporanea è un surrogato per l'avvio sicuro. Questo è tutto ciò che riesco a capire come privo di ulteriori informazioni, che non sono stato in grado di trovare. Cosa pensi?
Cosmo,
1
Temo di non avere ulteriori pensieri su questo problema. Ci vorrà del tempo e degli sforzi per indagare su questi recenti cambiamenti.
Rod Smith,
1
L'avvio sicuro richiede una password, non può essere vuoto e richiede un tipo di autenticazione. Questo è il motivo per cui gli amministratori di rete lasceranno i sistemi di computer protetti senza password per l'account admin, poiché non è possibile accedere in remoto senza una password.
Dorian,

Risposte:

7

UEFI Secure Boot protegge il boot loader da eventuali manomissioni utilizzando una combinazione di chiavi CA e firme nei file di avvio. Microsoft, ad esempio, ha firmato boot loader per i quali sono già presenti chiavi CA nel firmware UEFI della maggior parte dei PC.

Questo protegge solo il nucleo iniziale del caricatore e niente dopo. Ad esempio initrd (initramfs) non è protetto, né altro dopo (GRUB, kernel, moduli, driver, qualsiasi cosa nello spazio utente, ecc.).

Il software di terze parti installato potrebbe aver incluso alcuni codici PCI o RAID di basso livello richiesti per il boot loader, motivo per cui è necessario creare una password, che creerà una chiave nello spazio del firmware UEFI. Dopo le modifiche, se il sistema nota qualcosa di diverso al momento dell'avvio, il BIOS si fermerà al POST e chiederà la stessa password inserita durante l'installazione per dimostrare che sei tu quello che ha installato il software. Questo metodo assicura che un utente fisicamente seduto al computer stia inserendo questa password come conferma poiché nessun software può essere caricato al momento POST del BIOS per falsificare questo.

Per la maggior parte dei sistemi utente, l'avvio sicuro fa ben poco per proteggerti. Non impedisce virus o malware o l'installazione di questi. Tutto ciò impedisce la manomissione del bootloader di basso livello, che di solito è comunque impedita dalla sicurezza di base dell'antivirus o del sistema operativo. Secondo me, e secondo la maggior parte della documentazione, può essere tranquillamente disabilitato.

Dorian
fonte
Sembra che potrebbe essere la risposta che sto cercando! Quindi, nonostante la creazione di una password, non posso mai chiedermelo a meno che non apporti modifiche al mio BIOS?
Cosmo,
1
Non proprio. È possibile che venga richiesto se si installa qualcosa che modifica il caricatore di avvio, che è ciò che il firmware UEFI verifica ad ogni avvio e confronta le firme di tali file con le chiavi memorizzate nel suo database.
Dorian,
1
Non vuoi dire "per la maggior parte degli attacchi , l'avvio sicuro fa ben poco per proteggerti?"
jpaugh,
1
@jpaugh Potresti usare la parola attacco credo. Tuttavia, la maggior parte delle infezioni / virus / malware non è considerata un attacco diretto, in quanto di solito queste cose sono solo in natura per infettarsi e diffondersi a tutti, e nessuno in particolare. Ma sì, qualcuno che ottiene l'accesso al tuo sistema da remoto e che cerca di pasticciare con il tuo avvio sarebbe considerato un attacco.
Dorian,
1
I comandi @Cosmo grub non dovrebbero disattivarlo poiché questo viene eseguito in memoria dopo che grub è già stato caricato. Ma forse il comando che stai eseguendo sta provando a eseguire un modulo che non era mai stato eseguito in precedenza, che sta disattivando gli allarmi UEFI ... Ti viene appena richiesta una password dal tuo BIOS? Se si disabilita l'avvio protetto nel BIOS, viene eseguito senza prompt?
Dorian,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.