Enroll MOK key στο Linux - χρειάζεται προσθήκη το εγχειρίδιο της ΤΣ;

Ξεκίνησε από mandarinos, 09 Νοε 2021, 10:01:06 ΠΜ

« προηγούμενο - επόμενο »

mandarinos

Καλημέρες!

Ειλικρινά, δεν θυμάμαι τί έκανα (εγκατάσταση κάποιου καινούργιου πυρήνα μάλλον, ή το ότι έβαλα μιά άλλη έκδοση του Linux στο VirtualBox να τη δω), και βρέθηκα -γιά πρώτη φορά μου- μπροστά σε παράθυρα με επιλογή "Enroll MOK" (και τα σχετικά). Εντάξει, τη βρήκα την άκρη· αλλά, Άλκη, θέλω να ρωτήσω το εξής:

Θεωρείς σκόπιμο να βάλεις ένα σχετικό κεφαλαιάκι σε κάποια νέα έκδοση του εγχειρίδιου της ΤΣ γιά την εγκατάσταση server-client; Διότι, καλά όσοι σκαμπάζουμε πέντε πράγματα και βρίσκουμε τον δρόμο μας· αλλά σκέψου πχ την αρχάρια δασκάλα, που έχει ένα server-client, και με ανανέωση του kernel της πετάει τέτοια επιλογή!

Γιά τους / τις συναδέλφους, που δεν γνωρίζουν: πρόκειται γιά μία ιδιότητα κυρίως των -σχετικά- νέων εκδόσεων του Linux, τουλάχιστον από το 2017 (απ' όσα είδα), κι όχι μόνο της οικογένειας του Ubuntu, η οποία σχετίζεται:
(α) με την ασφαλή εκκίνηση (secure boot),
(β) με την (ασφαλή) εγκατάσταση οδηγών του hardware από "τρίτους συμβαλλόμενους" (third party drivers - δηλαδή, στα Ubuntu μιλάμε γιά drivers πέρα απ' όσους έχει η Canonical),
(γ) η οποία γίνεται με "πιστοποιητικά ασφαλείας" (συνήθως "signed by Microsoft", αλλά τα οποία "Ubuntu trusts", λέει... δέ γλυτώνουμε εύκολα από δαύτη!),
(δ) με σύνδεση Linux (σε επίπεδο ΛΣ) και BIOS/UEFI.

Πληροφοριακά, υπάρχουν μέσα στο ίδιο το Linux (κι όχι μονάχα στο BIOS/UEFI) οι σχετικές εντολές γιά εγκατάσταση / απεγκατάσταση MOK key. Αλλά, αν θέλετε να ρίξετε μιά ματιά παραπάνω, θεωρία εδώ:
        https://wiki.ubuntu.com/UEFI/SecureBoot

Αναφορές-παραδείγματα, εδώ:
(1) https://documentation.commvault.com/11.20/expert/118661_enrolling_commvault_keys_with_uefi_mok_machine_owned_key_list.html
(Αυτή η ακολουθία επιλογών είναι, που -μάλλον- θα δήτε μπροστά σας, αν κληθήτε να επιλέξετε secure boot / MOK key enrollment. Εγώ αυτήν ακριβώς είδα.)
(2) https://askubuntu.com/questions/1049838/failed-to-enroll-mok-key-on-upgrade-17-10-18-04
(3) https://unix.stackexchange.com/questions/640942/enroll-mok-dialog-after-the-1-st-reboot-when-you-install-linux-mint-20-1-wha

alkisg

Καλημέρα! Η αρχάρια δασκάλα δεν θα χρειαστεί να κάνει compile dkms modules, οπότε δεν θα δει ποτέ αυτούς τους διαλόγους! :)

Για να εμφανιστούν αυτοί οι διάλογοι, πρέπει να πάμε στα UEFI settings και να ενεργοποιήσουμε το secure boot (που δεν προτείνεται ούτε δίνει κάποια ασφάλεια), και συγχρόνως να εγκαταστήσουμε το virtualbox ή τους εμπορικούς nvidia drivers (που ούτε αυτοί προτείνονται).

Βέβαια δεν βλάπτει να προσθέσουμε μια παραπομπή στο https://wiki.ubuntu.com/UEFI/SecureBoot, να το βάλουμε στο νέο εγχειρίδιο που ετοιμάζουμε για την 22.04...

mandarinos

(Συμφωνώ με χίλια! Πώς είναι εδώ το εικονίδιο "thumbs up"; )

Αυτά πρέπει να έκανα, είχα βάλει (γιά κάποιο λόγο) επιλογή secure boot στο UEFI του server, συν το ότι σκάλισα το VirtualBox.

Τέλος πάντων, το secure boot -πιστεύω- συνδυάζεται μ' αυτό εδώ το θέμα: https://alkisg.mysch.gr/steki/index.php?topic=8857.0 , οπότε μάλλον είναι χρήσιμο - έστω, γιά ελάχιστους υπεύθυνους εργαστηρίου.

Αλλά τώρα προκύπτει ένα άλλο ερώτημα: θεωρείς σκόπιμο να βγάλεις ένα ξεχωριστό μικρό εγχειρίδιο με επιλογές γιά -εννοείται- έμπειρους υπεύθυνους εργαστηρίου, και με την ένδειξη: "Δεν συνίσταται η εφαρμογή του πέρα από τις βασικές οδηγίες εγκατάστασης που αναγράφονται στο βασικό εγχειρίδιο"; Ή, να ενσωματωθούν και τα προχωρημένα θέματα στο βασικό εγχειρίδιο μέν, αλλά με τρόπο που να ξεχωρίζουν, και/ή "μή εγγίζετε, αν δεν ξέρετε τί σας γίνεται".

Στο εγχειρίδιο που γράφω (ουσιαστικά μιά συρραφή how-to's), διέγνωσα εξ αρχής αυτό το πρόβλημα (δηλ. του πόσα γνωρίζει αυτός που θα το διαβάσει), γι' αυτό βάζω στα θέματά του μιά (αυθαίρετη) βαθμολογία δυσκολίας από 1 έως 5.

alkisg

Τα κλειδιά ssh που γράφει ο gidarakos στο άλλο θέμα δεν έχουν σχέση με secure boot.

Είμαστε σε φάση μετατροπής του εγχειριδίου από mediawiki σε markdown/mkdocs. Ενημέρωσα ήδη τη σελίδα https://ltsp.org/ με το νέο θέμα mkdocs-material και θα ακολουθήσουν και οι υπόλοιπες.
Το καλοκαίρι για το Ubuntu MATE 22.04 θα τα έχουμε έτοιμα. Τότε η παραγωγή pdf θα είναι ευκολότερη, οπότε μπορούμε άνετα να δημιουργούμε πολλά και αυτοματοποιημένα pdf, π.χ. "μόνο τα βασικά" ή "όλα" ή "για προχωρημένους" κλπ.

mandarinos

Απλώς υπέθεσα ότι έχουν σχέση, επειδή η system security είναι μιά τεράστια θάλασσα αντικειμένων, γιά την οποία ομολογώ ότι δεν έχω ιδέα. (Δεν με απασχόλησε ποτέ, και δεν την έψαξα.)

Πάντως, αυτά που γράφεις γιά την "προσεχώς" τεκμηρίωση κατ' επιλογήν, είναι πολύ ευχάριστη έκπληξη!