V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Osk  ›  全部回复第 75 页 / 共 183 页
回复总数  3657
1 ... 71  72  73  74  75  76  77  78  79  80 ... 183  
2020-07-30 18:25:44 +08:00
回复了 yanqiyu 创建的主题 Linux grub2 被报道安全问题,可致安全启动被绕过
@Osk 打错了,应该是 secureboot/firmware -> shim -> grub2 ->kernel,漏了一个 grub2
2020-07-30 18:24:04 +08:00
回复了 yanqiyu 创建的主题 Linux grub2 被报道安全问题,可致安全启动被绕过
@jim9606 secure boot 我猜微软是想配合 bitlocker 等安全手段使用的,毕竟启用了 secure boot 内核安全了,但启动个 pe 往 c 盘里放个木马什么的就喜剧了,secure boot 也保不了。

Linux 这边只使用 secure boot 可以说真没啥意义,和 Windows 只使用 Secure Boot 一样,纯粹添堵。但一旦启用 luks 加密 / 后,不验证 initramfs 的风险就变得极大了,secure boot 信任 shim, shim 信任 kernel,但不验证 initramfs,initramfs 可以被修改加入恶意代码,比如添加一个脚本往解密后的 rootfs 植入恶意程序,或者窃取 luks key,这些攻击的成本都极低。

而 windows 的 bootmgr 好像没有类似的风险,毕竟功能少,攻击面少,不像 grub/initramfs 太过强大。(这里待验证,也许 bootmgr 有类似的风险但我没了解到,也不排除 bootmgr 在未来出现漏洞)

对于这个问题,systemd bootloader 有一个很有趣的解决方案,archlinux 上可以很方便地将 bootloader + kernel + initramfs + intel ucode + kernel cmdline 打包到一个 efi 文件中,然后对整个 efi 文件 secure boot 签名,安全上很不错,然而操作太麻烦,且需要自己生成 secure boot 的各种证书。
2020-07-30 13:37:12 +08:00
回复了 yanqiyu 创建的主题 Linux grub2 被报道安全问题,可致安全启动被绕过
@LokiSharp GRUB2 和 Linux 发行版的问题在于 MS 认可的 CA 给他们签名了 shim, 让他们可以在开启 secure boot 的情况下正常加载 grub2 并启动 Linux, 然而 grub2 出现了不仅影响 Linux 自身甚至影响其它操作系统的安全漏洞...

比如 ubuntu, 很久前就被报道过类似的问题, 也不知道修复没有, 甚至很难修复, 前一阵子微软通过 Windows Update 更新 secure boot 的证书库, 据说炸了一些 HP 的商用电脑.
2020-07-30 13:02:18 +08:00
回复了 yanqiyu 创建的主题 Linux grub2 被报道安全问题,可致安全启动被绕过
@spcharc 雷电 3 现在有内核 DMA 隔离保护了, BIOS 代码本身的保护 Intel 好像也有方案, BIOS 密码如果有需要的用户或者一些企业是会设置好的, Secure Boot 关闭后, 开机界面是会显示警告的(似乎是 BIOS 显示,这类设备太少, 无法验证是 OS 显示的还是 BIOS 显示的警告).

硬件安全防护方案并不是一文不值的, 针对硬件的攻击确实有, 只要攻击的代价足够高, 就是有意义的.
2020-07-30 12:52:48 +08:00
回复了 yanqiyu 创建的主题 Linux grub2 被报道安全问题,可致安全启动被绕过
@bitdepth 😄只是少有在大新闻上看到 Linux 社区在反对 Bootloader 锁的文章, 反对 Secure Boot 的新闻当时算是头条.
2020-07-30 12:25:30 +08:00
回复了 yanqiyu 创建的主题 Linux grub2 被报道安全问题,可致安全启动被绕过
这真的是 V 站吗? Secure Boot 只是安全环节中的一环啊.

其它环节出现漏洞了, Secure Boot 不背锅, 别怪 Secure Boot 没用, secure boot 环节出漏洞了, 除非有其它的验证手段, 不然整个安全环节就崩了.


Windows 8 提出 Secure Boot 后, 网上基本一片骂声, 有 Windows 社区的, 有 Linux 社区的, 但我在收集一些资料后我并不觉得这是一个很糟糕的功能, 相反, 它解决了一个痛点: 启动文件的验证, 在没有 Secure Boot 之前, 普通 PC 上大概只有通过 TPM 来达到一定的保护效果, 但当时 TPM 1.2 可不是大白菜遍地都有,而且有政策风险.

那么 Linux 呢? 我觉得 Linux 在这方面做得很垃圾, 是的, 就是垃圾, Secure Boot 居然不验证 Initramfs (RedHat, Ubuntu 默认不验证). Initramfs 里面被人插入恶意代码了都不知道, 简直是一个巨大的安全风险. Archlinux 好一点, 可以手动配置全验证.

Linux 社区做的好事就是逼微软加入了 Secure Boot 的开关.


Secure Boot 保护的是启动阶段的流程是安全的, 避免 rootkit 在 OS 启动前就执行恶意代码, 不然你 OS 里面装再多安全方案也是隐患. 对于大部分的 Linux 发行版来说, 确实是鸡肋, 启用后自己编一个 ko 插入都麻烦.

再说下去有人会认为我在黑 Linux 了, 以及类似于 "被迫害妄想症" 这样的言论出现.

另外, linux 社区真的很双标, 微软启用 Secure Boot 就是要搞垄断, 咋不说说一些 Linux/Android 设备上使用类似于 Secure Boot 的 bootloader 锁呢, 还不给解锁那种.
2020-07-30 07:47:53 +08:00
回复了 yanqiyu 创建的主题 Linux grub2 被报道安全问题,可致安全启动被绕过
grub2 让安全启动不再安全已经不是第一次了,相信也不是第二次。

linux 这边对安全启动的需求感觉就是:我才不管安不安全,我只管能在开启安全启动时能正常启动
2020-07-29 21:02:23 +08:00
回复了 louislivi 创建的主题 新手求助 关于 V2EX 的头像,我感到很神奇!
我一向都是随便找一张图当头像,很少用重复的
2020-07-29 20:51:36 +08:00
回复了 iPhone11 创建的主题 全球工单系统 吓死了,坐滴滴差点命没了,司机恐吓
关注,看看滴滴的全程录音是不是有用
2020-07-28 19:16:25 +08:00
回复了 zyu0090 创建的主题 信息安全 最近单位上网认证系统升级了,不装火绒会校验失败
一看就是没被 360 天擎毒打过的 :doge:
2020-07-27 19:20:05 +08:00
回复了 zxfreedom 创建的主题 职场话题 旁边的同事,总是窥屏怎么办
老哥这不怪我啊,你时不时地切到 p 站去,我想假装没看到也难呀
2020-07-26 12:01:06 +08:00
回复了 h503mc 创建的主题 问与答 如何将 windows server 2019 datacenter 完全降级到 Professional
啥?还有 server 到 client 这种降级路线?
2020-07-25 17:20:41 +08:00
回复了 Osk 创建的主题 问与答 迫于猪场放弃 uwp 云音乐,是时候转一个平台听歌了
对了,猪场的 web 端现在动不动把我踢下线,提示设备数量超了???

一个 Android 端 + 两个 web 端登陆也叫超了?
2020-07-25 10:38:07 +08:00
回复了 rogwan 创建的主题 Windows 用什么方法彻底禁止 win10 自动 update ?
2020-07-21 15:12:04 +08:00
回复了 rikka 创建的主题 macOS 才发现 Mac 上的 finder 是按 1000b=1kb 计算文件大小的
请注意 KiB 和 KB 的关系

macOs 是对的,Windows 瞎搞
2020-07-20 23:19:23 +08:00
回复了 ByteToy 创建的主题 问与答 笔记本附带的 win10 和 office 怎么在虚拟机激活
首先可以确定的是 Windows 10 oem 授权肯定是不可转移的,这也是 oem 版更便宜的原因之一,然后是 office,我账号里面有 office 2016,之前试过了,不可转移!但刚才试了下,居然转移成功了???

不过我有 office 365,鸡肋的家庭版只有 3 件套看不上。。。
2020-07-19 21:43:11 +08:00
回复了 domosekai 创建的主题 问与答 国家级证书进行强制 MITM 有可能吗?
怀疑你暗示某几家 ca 。

如果目标价值足够大,为啥不能用来 mitm 呢,然后称失误发错证书了。

不过我总觉得没必要,如果该 ca 发生过一两次 mitm, 估计搞事儿的会毫不犹豫地把该 ca 拉黑。

另外,很多工具用的是自签证书,根本不会理会系统的 ca 列表
2020-07-16 12:36:59 +08:00
回复了 GTD 创建的主题 问与答 Win to go 使用的时候突然对 SSD 进行断电,对 ssd 有损害吗?
2020-07-15 21:08:46 +08:00
回复了 moonjoin 创建的主题 生活 感觉每次和相亲对象聊天就像 Ping 服务器一样
你确定不是你防火墙 INPUT drop 了 icmp-in 数据包? /滑稽 /
1 ... 71  72  73  74  75  76  77  78  79  80 ... 183  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3543 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 50ms · UTC 04:30 · PVG 12:30 · LAX 20:30 · JFK 23:30
Developed with CodeLauncher
♥ Do have faith in what you're doing.