Hi,
Van egy Dell notebook, belso SSD-n Win 10, Bitlocker, UEFI, Secure boot engedelyezve. Van egy kulso USB-s SSD Linux-szal, a particios tabla MBR. Jelenleg ugy hasznalom, hogy ha Linux-ot szeretnek inditani akkor belepes a BIOS-ba, Secure boot kikapcsolas -> Legacy Option ROM engedelyezes -> Boot sequence / Legacy engedelyezes. Ha Windowst szeretnek, akkor ez mind vissza.
Ettol a maceratol szeretnek megszabadulni, van erre megoldas?
A korabbi gepemen nem volt Bitlocker, a belso SSD MBR-es volt, tehat az egesz boot folyamat legacy volt, ha a kulso SSD be volt dugva akkor arrol indult, ha nem akkor a belsorol. Nem tudom, hogy ennyire egyszeruve lehet-e egyaltalan tenni.
Arra gondoltam, hogy a Linux-os SSD-t atallitom GPT-re es igy tudok UEFI-t hasznalni. Meg a kiserletezgetes elejen tartok, egy pendrive-ot kialakitottam GPT-sre, a BIOS-bol latom is, de csak akkor, ha a secure boot ki van kapcsolva. Viszont ez azt jelenti, hogy be kell lepnem a BIOS-ba, szoval nem sokkal kevesebb macera, mintha a secure boot-on kivul meg masik ket helyen is at kell allitanom valamit.
Szoval a kerdes, egyaltalan az elvi lehetosege adott, hogy a Linux-os SSD barmilyen modositasaval tudjam vagy az egyik vagy a masik rendszert bootolni, anelkul, hogy allandoan a BIOS-ban kellene turkalnom?
Koszi,
/sza2
- 1422 megtekintés
Hozzászólások
Ha a Secure Boot mindenképpen szükséges és nem akarod oda-vissza kapcsolgatni, akkor először el kell érned, hogy a Linux rendszered is bootolható legyen Secure Boot mellett. Erre van megoldás, vannak olyan disztribúciók, amik tartalmaznak ehhez megfelelő loadert (SHIM).
Ezek után, már csak az UEFI boot menüjébe kell felvenned a két operációs rendszert.
Vagy, kikapcsolod a Secure Boot-ot egy életre. Információim szerint a Bitlocker nem igényli a Secure Boot jelenlétét, de FIXME.
- A hozzászóláshoz be kell jelentkezni
Debian 9 van a kulso SSD-n, a SHIM-mel eddig meg nem kerulem kapcsolatba, azt hiszem megprobalok vele megismerkedni.
Az egesszel nincs tapasztalatom, de ha a Secure boot-ot kikapcsolom, akkor bootolaskor a Bitlocker keri a kulcsot - bar tovabb meg nem mentem, nem tudom mi tortenik ha beirom (mindenesetre egyelore ovatos probalok lenni).
/sza2
--
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Szerintem sem feltétele a Secure boot és UEFI a Bitlockernek.
TPM van egyébként a gépben?
--
"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."
- A hozzászóláshoz be kell jelentkezni
TPM be van kapcsolva, ha kikapcsolom, a Bitlocker keri a kulcsot indulaskor.
/sza2
--
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Igen, lehet. Jó lenne pontosan tudni, hogy a Win-es bootnál mik pontosan azok a beállítások, amelyek megléte/hiánya esetén kér pwd-t a BitLocker, és melyeknél nem. (Itt korábban írtad a TPM-re is és a SecureBoot-ra is.)
Amúgy mi értelme egy olyan diszktitkosítónak, ami *nem* kér jelszót, hanem valahonnan automatikusan előszedi? Akkor ha valaki ellopja a laptopot elég csak bekapcsolnia, nem?
Emlékeim szerint láttam olyan Dell laptopot, aminél rá lehetett venni arra, az UEFI-jét, hogy dobjon fel menüt automatában, meg olyat is, ahol meg kellett nyomni hozzá a Dell-logó közben az F12-t.
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
- A hozzászóláshoz be kell jelentkezni
"Amúgy mi értelme egy olyan diszktitkosítónak, ami *nem* kér jelszót, hanem valahonnan automatikusan előszedi?"
Az eredeti elgondolás akkor működőképes és elméletileg biztonságos is lehet akár, ha TPM chip + secure boot van beállítva. Úgy működik, hogy amikor titkosítják a lemezt, a feloldó kulcs beíródik a TPM chipbe. Következő bootnál a TPM chip meg csak akkor adja ki magából a kulcsot, ha az adott diszket látja a rendszerben, és ellenőrzi, hogy tényleg egy megbízható (aláírt) oprendszer bootloader van rajta. Tehát ha valaki bekapcsol egy ilyen laptopot, és beindul rajta az oprendszer, akkor eljut kérdés nélkül az oprendszer login promptjáig. Ha amúgy nincs security hole az oprendszerben, akkor nem férsz hozzá a rajta lévő adatokhoz a login jelszó nélkül. Ha egy másik gépbe átrakod a diszket, akkor ott nem lesz meg a feloldó kulcs, be kell írni még boot során a diszk titkosítás jelszót, enélkül szintén nem férsz hozzá az adatokhoz. Ha másik diszket raksz a TPM chipes gépbe, akkor annak meg a TPM chip nem fogja megmondani a feloldó kulcsot. Szóval elvileg így lehet akár biztonságos is, persze elképzelhető, hogy valahogy mélyre menve ki lehet olvasni a TPM chipből infót.
- A hozzászóláshoz be kell jelentkezni
Igen, azt hiszem ez a helyzet esetemben.
/sza2
--
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Tulajdonkeppen akkor ker passwordot, ha vagy a secure boot vagy a TPM ki van kapcsolva. A tobbi allitgatast nem is tudom megcsinalni amig a secure boot nincs kikapcsolva.
F12-re jon a boot menu, de ez csak abban az esetben erdekes, ha mar sikerult megoldani, hogy a kulso SSD UEFI-s legyen es mukodjon secure boottal. Sajnos ha elojon is a boot menu, jelenleg BIOS-ba belepes jon es turkalas van, amiatt, hogy a kulso SSD most sima MBR.
/sza2
--
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Az én, szintén UEFI-s Dellem UEFI-ben bootol, az általam beállított sorrendben kéne neki próbálnia az eszközöket. De konkrétan F12-re
Legacy BOOT:
UEFI BOOT:
OTHER OPTIONS:
listád ad ki (és van ott minden). A BIOS-ában van egy olyan, hogy Legacy vagy UEFI módban induljon. Én előbb beállítottam az egyiket, aztán átváltottam, és beállítottam a másikat - végül belüttem az UEFI-t. Így mind a kettőt beállítottam szépen: gyárilag bebootolja az UEFI-s FreeBSD-t, menüből be tudja tölteni az UEFI-s Linuxot és Windows-t, vagy akár egy MBR-es pendrive-ot is. (Igaz, a Secure Boot nincs bekapcsolva.) Szóval egyrészt nézz FW-frissítést, másrészt nézd meg, hogy bedugsz egy MBR-es PD-t, és így kapcsolod be, majd SETUP, és ebben az állapotában a legacy módnál be lehet-e pipálni az USB Storage -et. (Volt olyan gépem, ami csak akkor engedte ezt állítani, ha bekapcsoláskor már ott volt - ha PD nélkül bootoltam, nem is látszott a setup-ban az USB-s boot, mint lehetőség.)
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
- A hozzászóláshoz be kell jelentkezni
Ha a Secure boot opcio be van kapcsolva, akkor a legacy egyaltlan nem elerheto (legalabbis nalam), es a listaban (F12-vel) sem jelennek meg ilyen esetben a legacy boot lehetosegek.
/sza2
--
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Akkor visszajutottunk oda, hogy marad a PD GPT-sítése és a Linux UEFI-ből bootolása. gdisk / gparted, shim-signed csomag, grub2 , meg sok-sok próbálkozás. (Ezt már nézted? https://wiki.debian.org/SecureBoot )
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
- A hozzászóláshoz be kell jelentkezni
Koszi a linket, eddig nem lattam, de el fogom olvasni.
Vegulis F12-vel lehet valtani legacy es UEFI kozott (mindket iranyba), de tobb lepeses folyamat (tobb megerositessel, hogy biztos kikapcsolja-e a secure boot-ot), illetve mindker iranyba meg egy reboot is benne van (marmint a beallitgatas utan nem egybol boot-ol, hanem elosszor reboot). Mondjuk annyi konnyebbseg, hogy nem kell a BIOS-ba belepegetni, meg egerrel kattintgatni, hanem eleg csak az F12 + a kurzor nyilak + Enter (mar ez is orom:-)
/sza2
--
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni