Linux disztribúciók Secure Boot támogatása

 ( trey | 2012. december 29., szombat - 23:54 )

Most, hogy jönnek a Windows 8-as PC-k, érdemes számba venni azokat a Linux disztribúciókat, amelyek bekapcsolt Secure Boot firmware opció mellett is hajlandók elindulni. Matthew Garett készített egy listát azokról a disztrókról, amelyek számításba jöhetnek. A - még - meglehetősen rövid lista itt található.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

a ket disztro ahol szerintem sose lesz megoldva az a debian es a gentoo...


I hate myself, because I'm not open-source.

-1 Meg lesz oldva tutira azoknál is. Meg Arch-nál is.

mas altal leforditott binarist hasznalni olyan programbol, amit te is le tudnal forditani? ki csinal olyat? (nyilvan mindenki aki nem gentoot hasznal)


I hate myself, because I'm not open-source.

A gentoo -ban az ősidők óta léteznek bináris ebuildek, nem?

--
http://neurogadget.com/

A lehetőség létezik, tudtommal központilag nincsenek előrefordított binárisok. Gondolom a Gentoo forkok pont ezen segítenek, cserébe elveszik a testreszabhatóság egy része.

Aha, termeszetesen az emerge skype parancs sem mukodik stock Gentoo-ban. Nem is tudtam, hogy ehhez a parancshoz is fel kell raknom a Gentoo egy forkját.

persze hogy nem mukodik, eloszor az ACCEPT_LICENSE-hez hozza kell adni hogy skype-4.0.0.7-copyright ;)


I hate myself, because I'm not open-source.

http://www.gentoo-portage.com/app-office/libreoffice-bin

Idézet:
LibreOffice, a full office productivity suite. Binary package.

libre office-bol azert van binary package mert vannak emberek akiknek olyan regi a gepe hogy nem fordulna le rajta, vagy legalabbis nagyon sokaig tartana (keves ram, hely, etc). a shim-rol ez nem mondhato el...


I hate myself, because I'm not open-source.

"tudtommal központilag nincsenek előrefordított binárisok"
Erre hoztam egy ellenpéldát. Sejtem, hogy azért van, mert sokáig tartana a fordítása, de attól még ellenpéldának jó :) Legalábbis kevésbé lehet belekötni, mint a skype-ba.

Nem hiszem, hogy ilyen szigorú policiy lenne gentooéknál arra, hogy miből lehet bináris csomag, és miből nem. Amiből muszáj, abból lesz, a shim pedig ilyen. Bár már várom a hosszú threadeket, hogy a bináris shim miatt 20ns longer lesz a boot folyamat, vagyis hiába lett minden más megfelelő optimalizációval fordítva. :)

De, vannak. Annak idején amikor az Ooo több napig fordult a gyenge gépemen, ooo-bin csomagot raktam fel, mindenféle hekkelés nélkül, a hivatalos portage fából. Tehát már sok éve létezik a dolog.

--
http://neurogadget.com/

AUR-ban van már csomag. Mikor lesz hivatalos az más kérdés.
https://aur.archlinux.org/packages/shim-efi-x86_64-git/

Fogadunk?

Rosszul gondolod, Debian eseteben meg lesz oldva.

--
|8]

Aszongya, hogy:
Sabayon Linux Wiki
"Sabayon Linux is based on the source-based distro named Gentoo"

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

"érdemes számba venni azokat a Linux disztribúciókat, amelyek bekapcsolt Secure Boot firmware opció mellett is hajlandók elindulni"

Ha jól tudom, akkor Secure Bootos gépen nem a Linux dönti el, h hajlandó e elindulni, vagy sem, így ez a megfogalmazás helytelen.
________________________________________________
Attól, hogy más hülye, te még lehetnél normális.

Nála lehet elérni ezt is:

http://mjg59.dreamwidth.org/20303.html

"... this is intended for distributions that want to support secure boot but don't want to deal with Microsoft. To use it, rename shim.efi to bootx64.efi and put it in /EFI/BOOT on your UEFI install media. Drop MokManager.efi in there as well. Finally, make sure your bootloader binary is called grubx64.efi and put it in the same directory."


"Belépés díjtalan, kilépés bizonytalan."

Ja. Volt már.

--
trey @ gépház

Aktuális, nem árt ismételni. :-)


"Belépés díjtalan, kilépés bizonytalan."

Ez a marhaság kikapcsolható lesz gondolom. (mármint a titkosított boot) A win-8 élvezetéről pedig örömmel lemondok. Egy kérdésem lenne egyébként. Titkosítási mizériában teljesen járatlan vagyok. Virtuális gépnek ha van aláírása akkor titkosítatlan gépre lehet titkosított bootot igénylő rendszert felrakni?

------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.

Amennyiben arra gondolsz, hogy Secure Boot-os rendszert szeretnél bootolni egy virtuális gépben - pl virtualboxban - akkor a válasz az, hogy nem minden esetben. A virtualbox nem támogatja jelenleg a rendszert. A vmware megoldásról nem tudok nyilatkozni. A qemu-kvm-es megoldások viszont támogatják ezt. De még a sajtreszelővel rejszolás a beüzemelése.

biztos lesz pár elvetemült aki megcsinálja :D
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Secure Boot-os rendszert szeretnél bootolni egy virtuális gépben [...] A qemu-kvm-es megoldások [...] támogatják ezt

http://www.linux-kvm.org/page/OVMF

A vmware workstationben tuti megy tesztelve.:)

Ez az egész secureboot-nak nevezett szivatás, pont annyira kell, mint köröm a farkunkra... Inkább ment volna kapálni, aki ezt kitalálta. Pont olyan értelmes mint a Win7-be épített élményindex, vagy mi. Most még egy újabb hülyeség, amivel jókat lehet szívni. Gratula...

--
openSUSE 12.2 x86_64

A secure bootnak van letjogosultsaga, csak ezt sokan nem kepesek belatni.

A masik, arra meg kivancsi lennek, hogy a sok ember kozul, aki csak a nyalat veri, mennyi az, aki ujraforditja a programjait linuxon... tippre kozelit a 3-4%-hoz, a tobbi meg ugyis csak a distro binaris csomagjait hasznalja, akiknek meg aztan teljesen mindegy, mert a distro elvegzi helyettuk a hozza szukseges hackelest.
___
info

kuldtem be rola szavazast, egyszer majd talan kint is lesz
___
info

Már nem emlékszem hol olvastam.. A secure boot lényege az, hogy csak aláírt bootloaderrel ellátott OS tud bootolni.
Ennek azért nincs értelme, mert ugyancsak az van / lesz, mint a böngésző és https esetén. Azaz valaki aláírja a tanúsítványom, akiben a böngésző gyártója megbízik. én viszont magamban SEM, ezért csak azért is saját CA-t akarok használni, hogy tutira kivédhessem a próbálkozókat a saját ssl-es cuccomon... Ugyanezt a hibát látom a secure boot-ban is.

Hogy jött ide a csomag fordítgatás? Félreértelmeztem volna a secureboot-ot?

--
openSUSE 12.2 x86_64

Paranoia ellen semmi sem segít, így a secure boot sem. Vagy intézd el, hogy az aláírásod belekerüljön a secure boot elfogadott aláírások közé és hopp, onnantól te is alá tudsz írni.


"Belépés díjtalan, kilépés bizonytalan."

Nem is rossz ötlet. Amint megtudom kit kell megb... lefizetni, meg is csinálom, osz tsókolom...

--
openSUSE 12.2 x86_64

A secure bootnak nincs létjogosultsága, csak redmond máshogy nem képes harcolni a warezwindóz ellen - mert ha megy a secure boot, akkor lőttek a win7-et megtréfáló loadereknek. Erről szól ez az egész baromság, nem másról.

-------------------------
Trust is a weakness...

+1 Nem látok életszagú példát arra, hogy mi másra kéne, mind olyan erőltetett.

Köszi a linkeket, fincsi.

-------------------------
Trust is a weakness...

csak az élményindexszel nem lehet adott esetben kiszopatni az alternatív OS-eket, míg ha a secure boot elterjed...

Ez a Secure Boot kikapcsolható, nem?

"Hardvert vásárolni tudni kell." (a lényeg hogy nem biztos hogy minden laptopban kikapcsolható lesz, ellenben beletenni kötelező a Win 8 matricás gépeknek magát a funkciót)

PC-kre gondoltam, hogy ott nem lehet gond, bár tényleg már léteznek laptopok is, nekem ez még újdonság, így eszembe sem jutott :)

nem

de igen


"Belépés díjtalan, kilépés bizonytalan."

hol?

a BIOS/UEFI menüben -> Secure Boot has arrived

Milyen gépről beszélünk? Az én gépemben például a BIOS-ban van egy UEFI enabled/disabled lehetőség, fejből meg nem mondom melyik menüben. Gondolom hasonlóan létezik más gépekben is.


"Belépés díjtalan, kilépés bizonytalan."

Bohóc biztos nem olvasta ezt a cikket.

--
trey @ gépház

Azt nem tudom, hogy o olvasta-e, de az adhat nemi okot a szkepticizmusra, hogy az OEM-ek (amennyire en tudom) nincsennek kotelezve, hogy kikapcsolhatova tegyek a Secure Boot-ot.

Ez így van, de az semmiképpen nem jelenti azt, hogy kategorikusan ki lehet jelenteni, hogy nem.

--
trey @ gépház

de igen.

Dióhéjban a logikád:

A : a gyártó köteles az OEM gépekbe secure bootot rakni
B : kikapcsolható a secure boot

Egy gyártónak A kötelező és lehetősége van B-re és ¬B -re => ¬B tetszőleges OEM gépre igaz.

Ez hogy jött ki neked? Mert akárhogy nézem az ((A&&B) || (A&&¬B)) => (A&&¬B) állítás nem igazán állja meg a helyét.

ennek mi köze van az én logikámhoz?

szerk: mi lenne ha azt olvasnád, amit írok, és nem azt, amit te gondolsz?

Kérdés mi a nagyobb pénz. Amit a Microsofthoz köthető eladásokból szednek, vagy amit egyéb eladásokból szednek. Mert ha nem kikapcsolható, amíg a mizéria tart, nincs egyéb eladás, mivel nem tudod a rendszered telepíteni rá. Innentől ez a része gondolom az erősebb kutya esete.


"Belépés díjtalan, kilépés bizonytalan."

Ha nem lenne kikapcsolható a Windows-zal szállított gépeken, abból hamarosan per lenne, attól tartok.

--
trey @ gépház

Ezzel az UEFI-t tudod ki- ill. bekapcsolni, nem a Secure Boot opciot ;)

És az UEFI kikapcsolásával nem kapcsolom ki a Secure Boot-ot? :-)

Egyébként értem a kérdést, van a BIOS-ban Secure Boot opció is, de az szürkített, nem néztem utána milyen módon lehet aktívvá tenni. De ami a kérdés volt, ki lehet kapcsolni a Secure Boot lehetőséget és nem aláírt loadert betölteni. Működik, ezzel bootoltam be az USB pendriveomról és clonezilláztam a lemezt. De ha a gép előtt leszek, megnézem pontosan milyen menükről és beállítási lehetőségekről van szó.


"Belépés díjtalan, kilépés bizonytalan."

Mi értelme van ennek a secure boot dolognak, ha még az itteni hozzászólásokat olvasva is találok olyan linket, ahol le van írva, hogyan lehet a Micro$ofttal való egyezkedés nélkül tanúsítvánnyal rendelkező boot rendszert felépíteni? Ez hogy zárja azt ki, hogy piszkálva legyen a boot rendszer?

A Microsofttal volt egyezkedés, különben nincs aláírt loader, csak azt a Red Hat már elkövette. Kérdés, mások mennyire akarnak, mennyire használhatnak egy Microsoft által a Red Hat-nak aláírt programot hivatalosan. Joghoz nem értek.


"Belépés díjtalan, kilépés bizonytalan."

Ez akkor nem is olyan drága. Ugyanennyi lenne mondjuk a Debiannak is, hogy lehessen SB kompatibilis loadere?

Verisign oldalon alul kis betűkkel:

"Notice: Microsoft and Symantec will periodically review organizations and individuals participating in this offer and reserve the right to revoke certificates used by non-Winqual members."


"Belépés díjtalan, kilépés bizonytalan."

Matthew Garret a postban ahol közzétette, hogyan lehet megoldani, kifejezetten kihangsúlyozta, hogy ezt a binárist ő szolgáltatja, semmilyen köze sincs a Red Hathez (és ráadásul aznap 17:00-tól nem is áll a Red Hat alkalmazásában). (Ami kicsit vicces megoldás :D)

Ebből is látszik mekkora deal a SB.
Vagy azért lépett ki, hogy pénzt csináljon belőle
Vagy azért lépett ki, mert a RH pénzt akar belőle.
(mint elméleti lehetőség ;)

Jogos, akkor csere minden Red Hat-ot Matthew Garret-re.


"Belépés díjtalan, kilépés bizonytalan."