তৃতীয় পক্ষের মডিউলগুলি ইনস্টল করার সময় কেন "সিকিউর বুট" অক্ষম করা নীতি প্রয়োগ করা হয়?


46

১.0.০৪ ইনস্টল করার সময় আমাকে তৃতীয় পক্ষের মডিউল / ড্রাইভার ইনস্টল করতে চাইলে আমাকে " সিকিউর বুট " বন্ধ করতে বলা হয়েছিল ।

আমি মেনে চলি না।

এবং যখন আমি ম্যানুয়ালি আমি ব্যবহার করি কেবলমাত্র তৃতীয় পক্ষের ড্রাইভার ( বিসিএমডাব্লুএল-কার্নেল-উত্স ) ইনস্টল করি, তখন আমাকে আবার "প্যাকেজ ইনস্টল করার সময়" "সিকিউর বুট" বন্ধ করতে বলা হয়েছিল।

বিসিএমডাব্লুএল-কার্নেল-উত্স ব্যবহার 15.10 সালে সিকিউর বুটের সাথে পুরোপুরি ঠিক ছিল । এটি আমার সাথে কোনও বাগের সাথে সম্পর্কিত বলে মনে হচ্ছে না।

সুতরাং এটি দেখে মনে হচ্ছে উবুন্টু "সিকিউর বুট" দিয়ে এটি (??) কাজ করার জন্য তৃতীয় পক্ষের ড্রাইভার / মডিউলগুলিকে আর স্বাক্ষর করতে অস্বীকার করেছে। অথবা তৃতীয় পক্ষের মডিউলগুলি "সুরক্ষিত বুট" হিসাবে সুরক্ষিত এবং ভাঙ্গা হিসাবে বিবেচনা করার জন্য এটি এটিকে স্পষ্ট করতে অক্ষম করতে বাধ্য করছে ?? আমি কি সঠিক ?


6
ঠিক আছে, আইএমও, কারণ লোকেদের (মিথ্যাভাবে) সুরক্ষিত বুটটি পরামর্শ দেওয়ার সময় তৃতীয় পক্ষের মডিউলগুলি ভেঙে দেবে। সুরক্ষিত বুট সম্পর্কিত প্রযুক্তিগত তথ্য এখানে রয়েছে - wiki.ubuntu.com/SecurityTeam/SecureBoot । ব্যক্তিগতভাবে আমি সুরক্ষিত বুট ছাঁটাই করার সর্বব্যাপী পরামর্শের সাথে একমত নই, সুরক্ষিত বুট সক্ষম থাকা আমার হার্ডওয়্যারটিতে ঠিক কাজ করে। আইএমও সুরক্ষিত বুট সক্ষম রাখে যদি আপনার এতে সমস্যা না থাকে তবে অন্ধভাবে সুরক্ষা বৈশিষ্ট্যগুলি অক্ষম করার কোনও কারণ নেই।
প্যান্থার

8
আমি এটিকে গভীরতার সাথে দেখিনি, তবে আমি এটি বুঝতে পেরেছি, 16.04 15.10 এবং এর আগের সংস্করণগুলি ব্যবহৃত 15 এর তুলনায় একটি কঠোর সুরক্ষিত বুট প্রয়োগে চলেছে। বিশেষত, 15.10 এবং তার আগে, একবার শিম GRUB চালু করলে GRUB যে কোনও লিনাক্স কার্নেল চালু করবে ; সুরক্ষিত বুট সুরক্ষা GRUB দিয়ে শেষ হয়। আমার বোধগম্যতা হল যে 16.04 এর সাথে, সিকিউর বুট নীতি প্রয়োগকারী কার্নেল পর্যন্ত প্রসারিত, সুতরাং উবুন্টুর GRUB আর স্বাক্ষরবিহীন কার্নেল আরম্ভ করবে না। যদি এটি এর বাইরে চলে যায় তবে স্বাক্ষরযুক্ত কর্নেল মডিউলগুলিও প্রভাবিত হবে, যখন তারা আগে ছিল না। আবার, যদিও আমি এটিকে গভীরতার সাথে অধ্যয়ন করি নি।
রড স্মিথ

1
কিছু ভাল ব্যাকগ্রাউন্ড: বাগস.লঞ্চপ্যাড.এন.বুন্টু
+

1
তৃতীয় পক্ষের মডিউলগুলি ইনস্টল করার প্রয়াসে লোকেরা তাদের সিস্টেমে গণ্ডগোলের সাথে, আমি ভাবছি যে এই বৈশিষ্ট্যটি ভালের চেয়ে আরও বেশি ক্ষতি করে না।
ড্যানিয়েল

এটি বন্ধ করে দেওয়ার পরে এটি পুনরায় সক্ষম করার মতো কি আছে?
শোনাকদে

উত্তর:


38

এটি কোনও বাগ নয়, এটি একটি বৈশিষ্ট্য।

অ্যান্টনি ওয়াং যেমন বলেছেন, আপনি যখন কোনও ডিকেএমএস প্যাকেজ ইনস্টল করেন আপনি নিজেই প্যাকেজটি সংকলন করছেন, সুতরাং, ক্যানোনিকাল আপনার জন্য মডিউলটি স্বাক্ষর করতে পারে না।

তবে, আপনি অবশ্যই নিরাপদ বুট ব্যবহার করতে পারেন, তবে এটি হ'ল ব্যবহারের ক্ষেত্রে যেখানে সুরক্ষিত বুট আপনাকে নিজের হাত থেকে রক্ষা করার চেষ্টা করছে কারণ এটি আপনি জানেন না যে আপনি কোনও মডিউলে বিশ্বাস করেন কি না।

ডিফল্টরূপে , আপনার ইউইএফআই মেশিনে একটি প্ল্যাটফর্ম কী (পিকে) রয়েছে যা আপনার প্রসেসরে কোড লোড করার জন্য চূড়ান্তভাবে বিশ্বস্ত শংসাপত্র কর্তৃপক্ষ।

GRUB, বা শিম, বা অন্যান্য বুট প্রক্রিয়াগুলি একটি কেইকে দ্বারা ডিজিটালি স্বাক্ষর করা যেতে পারে যা রুট সিএ (পিকে) দ্বারা বিশ্বাসযোগ্য এবং এর ফলে আপনার কম্পিউটার কোনও কনফিগারেশন ছাড়াই উবুন্টু লাইভ ইউএসবি / ডিভিডি-র মতো বুট সফটওয়্যারটি করতে পারে।

উবুন্টু ১.0.০৪-তে কার্নেলটি CONFIG_MODULE_SIG_FORCE = 1 দিয়ে নির্মিত হয়েছে, যার অর্থ কার্নেলটি প্ল্যাটফর্মের একটি বিশ্বস্ত কী দ্বারা স্বাক্ষরিত মডিউলগুলি প্রয়োগ করবে । ডিফল্টরূপে ইউইএফআই প্ল্যাটফর্মটিতে এমন একটি পিকে রয়েছে যা আপনার কোনও নিয়ন্ত্রণে নেই এবং সুতরাং আপনি নিজের মেশিন দ্বারা স্বীকৃত কোনও কী দিয়ে বাইনারি সাইন করতে পারবেন না।

কিছু লোক এর বিরুদ্ধে মারপিট করে এবং কৌতুক করে, তবে আপনি নিজেরাই নতুন চাবিটি নথিভুক্ত করেছেন এটির নিজের চেয়ে আর কোনও ভাল উপায় (সুরক্ষা দৃষ্টিকোণ থেকে) নেই।

যদি আপনার বুট সিস্টেমটি শিম ব্যবহার করে, আপনি মেশিনের মালিকের কী ডাটাবেস নামে কিছু ব্যবহার করতে পারেন এবং আপনার কীটিকে এমওকে হিসাবে নথিভুক্ত করতে পারেন (এটি আপনি মোকটিল দিয়ে করতে পারেন)। আপনি যদি তা না করেন তবে আপনি নিজের কীটি ইউইএফআই ডাটাবেসে একটি সাইন ইন কী হিসাবে তালিকাভুক্ত করতে পারেন ।

আপনি কীটি নিবন্ধভুক্ত করার পরে, আপনি আপনার এমকে দিয়ে আপনার ডিকেএমএস-নির্মিত প্যাকেজটিতে স্বাক্ষর করতে পারেন (এখানে একটি পার্ল স্ক্রিপ্ট থাকা উচিত /usr/src/kernels/$(uname -r)/scripts/sign-file) এবং এটি স্বাক্ষর করার পরে, আপনি এটিকে কার্নেলের মধ্যে লোড করতে পারেন

মঞ্জুরি, কারও উচিত এ সম্পর্কে আরও ভিজ্যুয়াল নির্দেশনা তৈরি করা এবং কীগুলি বিবেচনায় নেওয়ার অনুমতি দেওয়ার জন্য সম্ভবত একটি উইজার্ড বা আরও ভাল ডি কেএমএস স্ট্যান্ডার্ড তৈরি করা উচিত, তবে আমাদের কাছে বর্তমানে এটি রয়েছে।

আপনার নিজের কার্নেল মডিউলগুলিতে কীভাবে স্বাক্ষর করবেন সে সম্পর্কে আপনি এই ব্যাখ্যাটি উল্লেখ করতে পারেন: https://askubuntu.com/a/768310/12049


1
আমি এটিকে অক্ষম করে দিয়েছি এবং এখন আমি একটি বিরক্তিকর "সুরক্ষিত সুরক্ষার বার্তায় বুট করা" পেয়েছি, যাইহোক এটিকে পূর্বাবস্থায় ফেরাতে হবে? আমি এখানে ফোরামে সমস্যাটি ব্যাখ্যা করতেও পারি না। @ এসসিস - আমি ইউবুন্টু 14.04 ব্যবহার করছি তাই আমার কাছে মনে হয় না এটি আমার কাছে প্রাসঙ্গিক। [
শোনাকদে

20

সংক্ষেপে, এটি কোনও বাগ নয়, তবে 16.04-এ প্রদর্শিত একটি নতুন পরিবর্তন।

কারণ আপনি যা ইনস্টল করছেন তা হ'ল একটি ডিএমএস প্যাকেজ। DKMS মডিউলগুলি আপনার নিজের মেশিনে সংকলিত হয়েছে এবং তাই ক্যানোনিকাল আপনার জন্য মডিউলটি স্বাক্ষর করতে পারে না। ক্যানোনিকাল যদি এটিতে স্বাক্ষর করতে না পারে তবে এটি ডিজিটালিভাবে যাচাই করার কোনও উপায় নেই। যদি আপনি সুরক্ষিত বুট চালু করে থাকেন তবে এর অর্থ হ'ল আপনার মডিউলটি ব্যবহার করা যাবে না এবং এটি ব্যবহার করতে আপনাকে নিরাপদ বুটটি বন্ধ করতে হবে, এজন্যই আপনাকে প্রশ্নটি জিজ্ঞাসা করা হচ্ছে।

কেন এটি কেবল ১ 16.০৪ এ হয় তবে পূর্ববর্তী প্রকাশগুলিতে নয়, রড স্মিথ একটি ভাল উত্তর দিয়েছেন। উবুন্টু 16.04 এ, উবুন্টু কার্নেল স্তরে সুরক্ষিত বুট প্রয়োগ করতে শুরু করে। ১.0.০৪ এর আগে উবুন্টু আপনাকে স্বাক্ষরিত কার্নেল এবং স্বাক্ষরিত কার্নেল মডিউলগুলি ব্যবহার করতে কার্যকরভাবে প্রয়োগ করে না, এমনকি আপনার সুরক্ষিত বুট চালু রয়েছে। তবে এটি আর 16.04-এর ক্ষেত্রে নেই।

এটি সম্পর্কিত বাগ: https://bugs.launchpad.net/ubuntu/+source/grub2/+bug/1401532

এটি সম্পর্কিত ব্লুপ্রিন্ট: https://blueprints.launchpad.net/ubuntu/+spec/foundations-x-installing- স্বাক্ষরিত- সুরক্ষা বুট


আমি এখনও 16.04 বিটা 2 দিয়ে এবং আপডেটের পরে ডাব্লুএল মডিউলটি লোড করতে পারি। তবে এখন মুক্তির সাথে সাথে আমি একটি ত্রুটি পেয়েছি "মোডপ্রোব: এরর: '
ডাব্লুএল

আপনি কি চালানোর চেষ্টা করতে পারেন: sudo অ্যাপ্লিকেশন মকুটিল; sudo mukutil - অক্ষম-বৈধতা
অ্যান্টনি ওয়াং

6

এটি করার আরেকটি উপায় হ'ল আপনার নিজস্ব কী তৈরি করা, এমওকে ডাটাবেসে পাবলিক অংশটি সন্নিবেশ করা এবং আপনি ব্যক্তিগত অংশের সাথে সংকলিত মডিউলগুলিতে স্বাক্ষর করুন। বিস্তারিত তথ্যের জন্য এখানে দেখুন: উবুন্টু 16.04 এ আপগ্রেড করার পরে 'vboxdrv' লোড করা যায়নি (এবং আমি নিরাপদ বুট রাখতে চাই)


1

গৃহীত উত্তরটি খুব সম্পূর্ণ, তবে আমি এখান থেকে নেওয়া এই সাধারণ টুকরোটি যোগ করতে চাই:

https://askubuntu.com/a/843678/664391

মূলত সুরক্ষিত বুট আপনাকে ইনস্টল করা কিছু ড্রাইভার লোড করা থেকে বিরত করতে পারে যা বেশ হতাশার হতে পারে। আমি নিজেই এর মধ্য দিয়ে এসেছি: ড্রাইভারটি সঠিকভাবে ইনস্টল করা হয়েছে, সবকিছু যেতে ভাল বলে মনে হয়েছিল, তবে এটি কার্যকর হয়নি। এটি সুরক্ষিত বুট হ'ল ওএসটিকে লোড হওয়া থেকে রোধ করে তা খুঁজে পেতে আমাকে কিছুটা সময় নিয়েছিল।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.