เหตุใดฉันจึงขอให้สร้างรหัสผ่านเพื่อปิดใช้งานการบูตอย่างปลอดภัยในการติดตั้ง Ubuntu 16.04 ครั้งแรก


30

ในการติดตั้งเริ่มต้นของ Ubuntu 16.04 ฉันได้ตรวจสอบว่า "ติดตั้งซอฟต์แวร์ของบุคคลที่สาม" และภายใต้นั้นฉันได้รับแจ้งให้ตรวจสอบตัวเลือกอื่นซึ่งจะอนุญาตให้แพคเกจระบบปฏิบัติการปิดการใช้งานการบูตปลอดภัยโดยอัตโนมัติ การสร้างรหัสผ่านที่จะทำให้กระบวนการทั้งหมดนี้เกิดขึ้น

หลังจากดำเนินการติดตั้งต่อไปฉันไม่เคยได้รับการบ่งชี้ใด ๆ ว่าการปิดใช้งานการบูตปลอดภัยเกิดขึ้นและฉันไม่เคยได้รับแจ้งให้ป้อนรหัสผ่านที่ฉันสร้างขึ้น

เมื่อติดตั้งระบบปฏิบัติการได้สำเร็จฉันรีสตาร์ทคอมพิวเตอร์และตรวจสอบ BIOS ใน BIOS การบูตอย่างปลอดภัยยังคงเปิดใช้งานอยู่ อย่างไรก็ตามในอูบุนตูฉันสามารถเล่นไฟล์ MP3 และแฟลชได้อย่างราบรื่นซึ่งฉันสันนิษฐานว่าบ่งชี้ว่าการติดตั้งซอฟต์แวร์บุคคลที่สามประสบความสำเร็จ

ฉันยังไม่พบปัญหาใด ๆ ในตอนนี้ (นอกเหนือจากข้อเท็จจริงที่ว่า UI นั้นค่อนข้างจู้จี้จุกจิกและ buggy ในบางครั้ง) แต่ฉันอยากจะรู้ว่าสิ่งใดในโลกที่ฉันทำสำเร็จด้วยการสร้างรหัสผ่านนั้น

เกิดอะไรขึ้นกับรหัสผ่านที่ฉันสร้างขึ้น ฉันจะต้องจำไว้ด้วยเหตุผลใดก็ตาม? มันไม่เหมือนกับรหัสผ่านเข้าสู่ระบบ / sudo ของฉัน

Ubuntu ได้แก้ไข BIOS ของฉันอย่างถาวรเพื่อที่จะทำการยกเว้นตัวเองหรือไม่? ถ้าเป็นเช่นนั้นฉันจะดูการเปลี่ยนแปลงเหล่านี้และยกเลิกการเปลี่ยนแปลงได้อย่างไร รหัสผ่านจะมาจากไหน?

ทำไม Ubuntu จึงจำเป็นต้องปิดการใช้งาน / บายพาสความปลอดภัยในการบูตเพื่อติดตั้งแพ็คเกจ ubuntu-limited-extras การติดตั้งของฉันใช้ได้ไหม ฉันตั้งตัวเองสำหรับปัญหาในอนาคตหรือไม่ ฉันควรลองติดตั้งใหม่ด้วยการปิดใช้งานการบูตที่ปลอดภัยด้วยตนเองเพื่อไม่ให้รับพรอมต์นั้นตั้งแต่แรก?

ข้อมูลเพิ่มเติม: ฉันใช้ระบบ UEFI และฉันเป็น Ubuntu 16.04 สำหรับการบูตคู่กับ Windows 10

ผู้ใช้รายอื่นได้ถามคำถามเกี่ยวกับปัญหาที่คล้ายกันที่นี่ ต่างจากผู้ใช้รายนี้ฉันไม่ได้รับคำเตือนเกี่ยวกับ "การบูทในโหมดที่ไม่ปลอดภัย" แต่ฉันอยากจะรู้ว่า Ubuntu สร้างข้อยกเว้นสำหรับตัวเองหรือไม่และฉันจะจัดการข้อยกเว้นเช่นนั้นได้อย่างไร ผู้ใช้นี้ไม่ได้พูดถึงอะไรเกี่ยวกับการสร้างรหัสผ่าน

ฉันจัดการเพื่อทำซ้ำกล่องโต้ตอบ  นี่มันคือ

นี่คือข้อมูลเพิ่มเติมบางส่วน


1
Ubuntu 16.04 ได้ทำการเปลี่ยนแปลงการจัดการ Secure Boot ที่ฉันยังไม่ได้สำรวจอย่างเต็มที่ อย่างไรก็ตามสิ่งที่ฉันรู้ก็คือคำตอบของคำถามนี้ hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8cฉันจะสนใจที่จะเห็นคุณออกคำสั่ง ตัวเลขสุดท้ายของบรรทัดแรก (0 หรือ 1) หมายถึงสถานะ Secure Boot ของคุณ (ไม่ทำงานหรือทำงานอยู่)
Rod Smith

1
0000000 0006 0000 0001 0000005ดูเหมือนว่ามันใช้งานแน่นอน โปรดทราบว่าฉันได้ปิดการใช้งานและเปิดใช้งานอีกครั้งสองสามครั้งเพื่อดูว่าจะมีอะไรเกิดขึ้นหรือไม่ อีกครั้งทุกอย่างทำงานได้ดีจนถึงตอนนี้ความกลัวเพียงอย่างเดียวของฉันคือบางสิ่งบางอย่างอาจผิดพลาดในอนาคต หลังจากอ่านเอกสารบางฉบับดูเหมือนว่ารหัสผ่านชั่วคราวนั้นมีไว้เพื่อทำหน้าที่แทนตัวแทนในการบู๊ตอย่างปลอดภัยแทนที่จะเป็น Ubuntu ที่รองรับคุณสมบัติโดยตรง เมื่อพิจารณาว่าฉันไม่เคยขอมันอีกแล้วสิ่งที่ดีที่สุดที่ฉันคาดเดาก็คือคุณลักษณะนี้ไม่สมบูรณ์ / บั๊ก
Cosmo

1
แค่หัวขึ้นฉันอาจจะผิดเกี่ยวกับรหัสผ่านชั่วคราวที่เป็นตัวแทนสำหรับการบูตที่ปลอดภัย นั่นคือทั้งหมดที่ฉันสามารถเข้าใจได้ว่าไม่มีข้อมูลเพิ่มเติมซึ่งฉันไม่สามารถหาได้ คุณคิดอย่างไร?
Cosmo

1
ฉันกลัวว่าฉันจะไม่มีความคิดเพิ่มเติมเกี่ยวกับปัญหานี้ ฉันต้องใช้เวลาและความพยายามในการตรวจสอบการเปลี่ยนแปลงล่าสุดเหล่านี้
ร็อดสมิ ธ

1
Secure boot ต้องการรหัสผ่านมันไม่สามารถว่างเปล่าและต้องการการรับรองความถูกต้องบางอย่าง นี่คือเหตุผลที่ผู้ดูแลระบบเครือข่ายจะออกจากระบบคอมพิวเตอร์ที่ปลอดภัยโดยไม่มีรหัสผ่านสำหรับบัญชีผู้ดูแลระบบเนื่องจากคุณไม่สามารถเข้าสู่ระบบจากระยะไกลโดยไม่ต้องใช้รหัสผ่าน
Dorian

คำตอบ:


7

UEFI Secure Boot ช่วยป้องกันบูตเดอร์ของคุณจากการถูกแก้ไขโดยใช้คีย์ CA และลายเซ็นต์ในไฟล์สำหรับบูต ตัวอย่างเช่น Microsoft ได้ลงนาม boot loader ซึ่งมีคีย์ CA อยู่ในเฟิร์มแวร์ UEFI ของพีซีส่วนใหญ่แล้ว

สิ่งนี้จะปกป้องแกนเริ่มต้นของโหลดเดอร์เท่านั้นและไม่มีอะไรหลังจากนั้น ตัวอย่างเช่น initrd (initramfs) ไม่ได้รับการปกป้องหรือสิ่งอื่นใดหลังจาก (GRUB, เคอร์เนล, โมดูล, ไดรเวอร์, สิ่งใด ๆ ใน userspace ฯลฯ )

ซอฟต์แวร์บุคคลที่สามที่คุณติดตั้งอาจรวมรหัส PCI หรือ RAID ระดับต่ำที่จำเป็นสำหรับบูตโหลดเดอร์ซึ่งเป็นสาเหตุที่คุณต้องสร้างรหัสผ่านซึ่งจะสร้างคีย์ในพื้นที่ของเฟิร์มแวร์ UEFI หลังจากแก้ไขหากระบบพบสิ่งที่แตกต่างกันในเวลาบูต BIOS จะหยุดที่ POST และขอรหัสผ่านเดียวกันกับที่คุณป้อนระหว่างการติดตั้งเพื่อพิสูจน์ว่าคุณเป็นผู้ติดตั้งซอฟต์แวร์ วิธีนี้ทำให้มั่นใจได้ว่าผู้ใช้ที่นั่งอยู่ที่คอมพิวเตอร์กำลังป้อนรหัสผ่านนี้เป็นการยืนยันเนื่องจากไม่มีซอฟต์แวร์ที่สามารถโหลดได้ที่ BIOS POST เวลาในการปลอม

สำหรับระบบผู้ใช้ส่วนใหญ่การบูทที่ปลอดภัยนั้นทำเพื่อปกป้องคุณเล็กน้อย มันไม่ได้ป้องกันไวรัสหรือมัลแวร์หรือการติดตั้งเหล่านั้น สิ่งที่มันทำคือป้องกันการ bootloader ระดับต่ำซึ่งมักจะถูกป้องกันโดยการป้องกันไวรัสขั้นพื้นฐานหรือความปลอดภัยของระบบปฏิบัติการต่อไป ในความคิดของฉันและตามเอกสารส่วนใหญ่ออกมีมันสามารถปิดการใช้งานได้อย่างปลอดภัย


ดูเหมือนว่านี่อาจเป็นคำตอบที่ฉันกำลังมองหา! ดังนั้นแม้จะมีการสร้างรหัสผ่านฉันอาจไม่ได้รับการร้องขอจากฉันจนกว่าฉันจะทำการแก้ไข BIOS ของฉัน
Cosmo

1
ไม่มาก คุณอาจถูกถามหากติดตั้งบางสิ่งที่ปรับเปลี่ยนบูตโหลดเดอร์ซึ่งเป็นสิ่งที่เฟิร์มแวร์ UEFI ตรวจสอบทุกครั้งที่บูตและเปรียบเทียบลายเซ็นของไฟล์เหล่านั้นกับคีย์ที่เก็บไว้ในฐานข้อมูล
Dorian

1
คุณไม่ได้หมายความว่า "สำหรับการโจมตีเกือบทุกรูปแบบการบูทที่ปลอดภัยจะช่วยปกป้องคุณเพียงเล็กน้อย"
jpaugh

1
@ jpaugh คุณสามารถใช้คำว่าโจมตีฉันเดา อย่างไรก็ตามการติดเชื้อ / ไวรัส / มัลแวร์ส่วนใหญ่นั้นไม่ถือว่าเป็นการโจมตีโดยตรงเนื่องจากโดยปกติสิ่งเหล่านี้เพิ่งจะเกิดขึ้นในป่าเพื่อแพร่เชื้อและแพร่กระจายไปสู่ทุกคนและไม่มีใครเป็นพิเศษ แต่ใช่มีคนเข้าถึงระบบของคุณจากระยะไกลและพยายามที่จะยุ่งกับการบูตของคุณจะถือเป็นการโจมตี
Dorian

1
คำสั่ง @Cosmo grub ไม่ควรตั้งปิดเนื่องจากการรันในหน่วยความจำหลังจากที่โหลดด้วงแล้ว แต่บางทีคำสั่งที่คุณใช้กำลังพยายามเรียกใช้โมดูลที่ไม่ได้ทำงานมาก่อนซึ่งกำลังปิดสัญญาณเตือน UEFI ... คุณเพิ่งได้รับพร้อมท์ให้ใส่รหัสผ่านจาก BIOS ของคุณหรือไม่ หากคุณปิดใช้งานการบู๊ตอย่างปลอดภัยใน BIOS จะทำงานโดยไม่แจ้ง
Dorian
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.