Стани премиум член и добиј попуст на 2000+ производи и куп други бенефити!
  • Важно
    Имате проблем со најава или регистрација на it.mk?
    Побарајте го решението на вашиот проблем ТУКА!

Arch Linux + GRUB + Secure Boot

barney

Intern
9 јуни 2017
113
23
Ми треба туторијал како да се намести Secure Boot на Arch Linux со GRUB како boot loader.
Најдов еден туторијал Secure Boot on Arch Linux кој се однесува на Arch Linux но со systemd-boot како boot loader. Ми треба истото но за GRUB.
Исто така, на компјутерот претходно имав инсталирано Debian, и таму си направив свои клучеви за потпишување на boot loader-от, кернелот и модулите. Сакам да ги искористам истите клучеви и на Arch Linux. Колу сум запознаен тие се наоѓаат во firmware-от, за екстрахирање на истите, според странава Unified Extensible Firmware Interface/Secure Boot - ArchWiki делот 3.1.2 Backing up current variables, треба само да се откуца efi-readvar -v PK -o old_PK.esl и слично за другите клучеви за да се добијат клучевите во .esl формат. Но овака ги имам во .esl формат, а за потпишување на датотеки се потребни и .key .crt .cer и .auth форматите. Дали може истите да се добијат од .esl или пак од firmware-от?
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Grub не е добра опција за secure boot.

- Зошто?
Идејата на secure-boot е да имаме доверба во целиот ланец на бутирање од моментот кога е уклучена струјата, преку BIOS-от/UEFI-то, па bootloader-от, па кернетлот+initrd-то, сѐ до моментот кога е учитан оперативниот систем. Таа доверба се обезбедува така што, CPU-то му верува на BIOS-от, BIOS-от го проверува bootloader-от дали е потпишан, bootloader-от го проверува kernel-от+initrd-то дали се потпишани и слично.

Е сега, Grub е премногу комплексен софтвер и претстатува преголем surface-of-attack во тој ланец, има многу опции каде што може да учита непроверени/непотпишани компоненти.

Затоа за secure boot се препорачува или systemd-boot како bootloader или дури и воопшто без bootloader (директно бутирање на UKI image - unified kernel image).

Исто така, ако правиш dual-boot … ќе биде проблематично пошто ќе треба и windows компонентите да ги потпишуваш со твоите клучеви.


Е сега, конкретно би ти препорачал да ја користиш алатката GitHub - Foxboron/sbctl: Secure Boot key manager за која имаш README и дополнителна документација во github wiki-то. Со sbctl ќе ги искреираш клучевите, ќе ги enroll-ираш (не знам како се преведува ова), и ќе ги потпишуваш UKI фајловите.


Е сеа, има малку подесување да се пребациш на UKI … UKI е комбинација на кернелот + инитрд-то + командната линија во еден фајл, кој е потпишан, па так се проверува во еден момент. тоа е најбитно, затоа што на тој начин обезбедуваш вистинска доверба во ланецот на бутирање.

Потребна е мала промена на /etc/mkinitcpio.d/linux.preset (или соодветниот фајл ако користиш друг кернел):

Код:
# /etc/mkinitcpio.d/linux.preset 
# mkinitcpio preset file for the 'linux' package

ALL_config="/etc/mkinitcpio.conf"
ALL_kver="/boot/vmlinuz-linux"
ALL_microcode=(/boot/*-ucode.img)

PRESETS=('default' 'fallback')

default_uki="/boot/EFI/Linux/archlinux-linux.efi"

fallback_uki="/boot/EFI/Linux/archlinux-linux-fallback.efi"
fallback_options="-S autodetect"



ова реално не ти е потребно. 99% BIOS-от си има reset to factory default keys опција


Но овака ги имам во .esl формат, а за потпишување на датотеки се потребни и .key .crt .cer и .auth форматите. Дали може истите да се добијат од .esl или пак од firmware-от?

Не, ако можеше да се извадат клучевите за потпишување од BIOS-от, тогаш ќе можеше да потпишуваш фајлови за сите други матични плочи - defeats the purpose.

Во BIOS-от се складирани само сертификатите. Клучевите се чуваат на безбедно место и не се дистрибуираат никаде. Затоа мора да си креираш сам свои.
 

barney

Intern
9 јуни 2017
113
23
Затоа за secure boot се препорачува или systemd-boot како bootloader или дури и воопшто без bootloader (директно бутирање на UKI image - unified kernel image).

Исто така, ако правиш dual-boot … ќе биде проблематично пошто ќе треба и windows компонентите да ги потпишуваш со твоите клучеви.
Ќе ме натераш да го реинсталирам Arch Linux. Не знам дали може boot loader да се смени на инсталиран и конфигуриран систем. Не знам кој начин да го одберам, дали systemd-boot или без boot loader. Ти (се надевам може без персирање) си многу поискусен со овие работи, што да одберам. Инаку немам намера да правам dual boot.
Второ, ме загрижуваат предупредувањата на wiki страната на Arch Linux дека креирање на сопствени клучеви може да го блокира компјутерот, бидејки firmware-то на графичките картички се потпишани со Microsoft клучеви. Ова го правам на laptop и ако се заглави графичката останува да го фрлам лаптопот.
Трето, пишува дека subctl работи на одредени матични плочи/компјутери, а на други не работи.
Четврто, користам Nvidia Driver, не знам како ќе се потпишуваат модулите на драјверот. Дали преку hook или DKMS.
Дали сето ова може да се тестира во VirtualBox, за да не направам некоја беља?
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Не знам дали може boot loader да се смени на инсталиран и конфигуриран систем.
може секако
Не знам кој начин да го одберам, дали systemd-boot или без boot loader. Ти (се надевам може без персирање) си многу поискусен со овие работи, што да одберам.
избери systemd-boot
Ова го правам на laptop и ако се заглави графичката останува да го фрлам лаптопот.
не би требало, треба да можеш во било кој момент да влезеш во BIOS и да исклучиш secure boot.
но дополнително, sbctl ја има sbctl enroll-keys --microsoft опцијата за тие ситуации.
Дали сето ова може да се тестира во VirtualBox, за да не направам некоја беља?
може да. за VirtualBox конкретно не знам, но со qemu јас сум тестирал secureboot

Трето, пишува дека subctl работи на одредени матични плочи/компјутери, а на други не работи.
Единствено што може да не работи, е enroll-keys од бутираниот Linux.
Во тој случај, ќе треба во BIOS-от да влезеш и преку него да ги додадеш .esl фајловите
Мислењето е автоматски споено:

Ти препорачувам прво да го подесиш systemd-boot и uki бутирање. UKI имиџите ќе бидат во
/boot/EFI/Linux. откога ќе го проработиш тоа, после продолжи со secure-boot и sbctl.
 

barney

Intern
9 јуни 2017
113
23
Пробувам прво да тестирам во qemu. Ја следам официјалната страна на Arch Linux за qemu QEMU - ArchWiki за да ја стартувам виртуелната машина со UEFI.
Успешно се стартува машината но OVMF BIOS-от како да не подржува secure boot. Јас не успеав да најдам опција за secure boot во OVMF, можеби јас не можам да се снајдам. По default secure boot е исклучено, ова го заклучив од тоа што успешно се boot-ира инсталациското ISO на Arch Linux, а тоа не подржува secure boot.
Еве ја командната линија со која го стартувам qemu:
Код:
qemu-system-x86_64 -cdrom /home/barney/downloads/archlinux-2023.03.01-x86_64.iso -boot menu=on -m 3G -accel kvm -drive if=pflash,format=raw,readonly=on,file=/usr/share/edk2-ovmf/x64/OVMF_CODE.fd -drive if=pflash,format=raw,file=/home/barney/qemu/OVMF_VARS.fd  -usb -device usb-tablet -drive file=/home/barney/qemu/arch_uefi.cow,format=qcow2
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Пробувам прво да тестирам во qemu. Ја следам официјалната страна на Arch Linux за qemu QEMU - ArchWiki за да ја стартувам виртуелната машина со UEFI.
Успешно се стартува машината но OVMF BIOS-от како да не подржува secure boot. Јас не успеав да најдам опција за secure boot во OVMF, можеби јас не можам да се снајдам. По default secure boot е исклучено, ова го заклучив од тоа што успешно се boot-ира инсталациското ISO на Arch Linux, а тоа не подржува secure boot.
Еве ја командната линија со која го стартувам qemu:
Код:
qemu-system-x86_64 -cdrom /home/barney/downloads/archlinux-2023.03.01-x86_64.iso -boot menu=on -m 3G -accel kvm -drive if=pflash,format=raw,readonly=on,file=/usr/share/edk2-ovmf/x64/OVMF_CODE.fd -drive if=pflash,format=raw,file=/home/barney/qemu/OVMF_VARS.fd  -usb -device usb-tablet -drive file=/home/barney/qemu/arch_uefi.cow,format=qcow2
ls /usr/share/edk2-ovmf/x64/ има OVMF_CODE.secboot.fd - тој ти треба за secure-boot подршка
 

barney

Intern
9 јуни 2017
113
23
ls /usr/share/edk2-ovmf/x64/ има OVMF_CODE.secboot.fd - тој ти треба за secure-boot подршка
Го открив ова, но со овој firmware не се подигнуваше системот. Го прочитав troubleshoot за qemu QEMU - ArchWiki и во делот 15.18 пишува за овој проблем, но и покрај користење на опцијата
Код:
-global ICH9-LPC.disable_s3=1
виртуелната машина не се подигаше. Откако го почитав README фајлот edk2/README at master · tianocore/edk2 ги додадов сите опции опишани таму, по ова виртуелната машина се стартуваше. Успеав успешно да инсталирам Arch Linux со systemd-boot како boot loader. Ја изменив /etc/mkinitcpio.d/linux.preset
како што напиша претходно. Инсталирав sbctl, генерирав клучеви и направив enroll. Направив и два bundles со sbctl во /boot/EFI/Linux. Ги потпишав истите и направив enable на secure boot. Се помина во најдобар ред.
Има еден мал проблем. Кога го реинсталирам кернелот, .efi фајловите во /boot/EFI/Linux двапати се потпишуваат. Изгледа има hook и од /etc/mkinitcpio.d/linux.preset и од bundles од sbctl. Најверојатно нема потреба да се менува /etc/mkinitcpio.d/linux.preset, упатството на Arch Linux е многу нејасно, не само во овој случај, туку и скоро сите страни. На пример напишани се неколку чекори, по што следи нов, а не е јасно кои од претходните чекори треба да се направат, а кои не. Ќе тестирам и без /etc/mkinitcpio.d/linux.preset па ќе пишам што сум направил.
Инаку треба да направам и тестови со systemd-boot update. Односно кога systemd се update-ува да се потпише и boot loader-от. Не можам се од еднаш да истестирам, а и документацијата е само нафрлена па треба многу да се тестира.
 

barney

Intern
9 јуни 2017
113
23
Го читав и FAQ од WIKI-то на sbctl што се однесува на Option ROM. Таму има референца на /sys/kernel/security/tpm0/binary_bios_measurements, но оваа датотека воопшто не постои на мојот систем. Затоа не знам како да проверам дали има Option ROM инсталирано на мојот систем. Ова е за да знам дали треба да ги enroll-увам клучевите од Microsoft.
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Таму има референца на /sys/kernel/security/tpm0/binary_bios_measurements, но оваа датотека воопшто не постои на мојот систем.
тоа ќе постои само ако имаш TPM2 подршка на компјутерот/виртуелката.
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Има еден мал проблем. Кога го реинсталирам кернелот, .efi фајловите во /boot/EFI/Linux двапати се потпишуваат. Изгледа има hook и од /etc/mkinitcpio.d/linux.preset и од bundles од sbctl.
мислам дека не се потпишува два пати. нели се потпишува и нормлниот и fallback имиџот.

додуше не сум сигурен што сѐ имаш направено.
 

barney

Intern
9 јуни 2017
113
23
додуше не сум сигурен што сѐ имаш направено.
Прво да напоменам дека secure boot сакам да го подесам на laptop. На laptop-от немам ништо пипано, освен што проверував дали има Option ROM.
Имам и Desktop компјутер, и на овој компјутер направив виртуелна машина. Сите експериментирања ги правев во виртуелна машина.
Еве ја постапката што ја користев:
1. Едитирав /etc/kernel/cmdline, и во неа ставив
Код:
root=UUID=xxxx-xxx-xxx rw
2. Ја едитирав датотеката /etc/mkinitcpio.d/linux.preset, и таа изгледа овака:
Код:
ALL_config="/etc/mkinitcpio.conf"
ALL_kver="/boot/vmlinuz-linux"

PRESETS=('default' 'fallback')

#default_image="/boot/initramfs-linux.img"
default_uki="esp/EFI/Linux/archlinux-linux.efi"
default_options=""

#fallback_image="/boot/initramfs-linux-fallback.img"
fallback_uki="esp/EFI/Linux/archlinux-linux-fallback.efi"
fallback_options="-S autodetect"
3. ги стартував двете команди:
sbctl bundle --save /boot/EFI/Linux/archlinux.efi
sbctl bundle --initramfs /boot/initramsfs-linux-falback.img --save /boot/EFI/Linux/archlinux-fallback.efi
Тука мислам е направена првата погрешка. Имињата на .efi фајловите не се согласуваат во .preset фајлот со имињата на .efi фајловите дефинирани со претходните две команди.
4. Потоа со sbctl sign -s ги потпишав boot loaderot, vmlinuz, initramsfs, и двата генерирани фајла archlinux.efi archlinux-fallback.efi.
5. Реинсталирав кернел со pacman -S linux и ми се појавија 4 .efi фајла во /boot/EFI/Linux. Се разбира 2 со имињата од .preset фајлот, 2 со имињата дефинирани со sbctl bundle командите.

Тука ја увидов грешката, го едитирав .preset фајлот и ги корегирав имињата на .efi фајловите да одговараат на имињата дефинирани со sbctl bundle командите. Ги избришав archlinux-linux.efi i archlinux-linux-fallback.efi фајловите од /boot/EFI/Linux директориумот.
Повторно реинсталирав кернел, но за датотеките /boot/EFI/BOOT/BOOTX64.EFI и /boot/EFI/systemd/systemd-bootx64.efi јавува: File has already been signed.
Кога пробував првиот пат да реинсталирам кернел истото го јавуваше и за archlinux.efi и archlinux-fallback.efi, но после рестарт на виртуелната машина не јавува повеќе.
Инаку нема никаков проблем со secure boot. Овозможив secure boot во BIOS-от и си подигна систем без проблем.
Сега останува да наштелувам при update на systemd автоматски да се потпишува boot loaderot.
Едно прашање: каде ги чува клучевите sbctl?
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Сега останува да наштелувам при update на systemd автоматски да се потпишува boot loaderot.
јас ова го имам
Код:
# /etc/pacman.d/hooks/systemd-boot.hook
[Trigger]
Operation = Install
Operation = Upgrade
Type = File
Target = usr/lib/systemd/boot/efi/systemd-bootx64.efi

[Action]
When = PostTransaction
Exec = /usr/bin/sbctl sign -o /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed /usr/lib/systemd/boot/efi/systemd-bootx64.efi
Depends = sbctl

Едно прашање: каде ги чува клучевите sbctl?
сега за сега /usr/share/secureboot/ од кои *.keys фајловите се сензитивни. има некој предлог да подржува TPM2 енкрипција и/или yubikey стил на HSM-ови но тоа е за иднина.



Иначе општ коментар,
точно е твојата забелешка дека различни документации кажуваат различни работи, понекогаш и контрадикторни. Тоа е затоа што некои од алатките тек сега се приспособуваат на целиот концепт. На пр. во моментов има 3 алатки кои прават UKI имиџи во Arch: sbctl, mkinitcpio, и ukify од systemd 253 (ако не го рачунаме и мојон пакет за secure-boot и dracut итн итн).

Но се работи на случајот, на пример баш сега излезе mkinitcpio v35 со подршка за post-generation hooks - што до сега беше недостаток - така да рачунај дека оптималниот процес дополнително ќе се смени и оптимизира.
https://www.reddit.com/r/archlinux/comments/11uql1t View: https://www.reddit.com/r/archlinux/comments/11uql1t/mkinitcpio_v35_released_archprojects/

Мислењето е автоматски споено:

sbctl bundle --save /boot/EFI/Linux/archlinux.efi
пс.
ако подесуваш потпишување со hooks не ти треба --save генерално. а и ако праваиш uki со mkinitcpio не ти треба sbctl bundle


Мислењето е автоматски споено:

pps.
исто и ова
Код:
# /etc/pacman.d/hooks/fwupd.hook
[Trigger]
Operation = Install
Operation = Upgrade
Type = File
Target = usr/lib/fwupd/efi/fwupdx64.efi

[Action]
When = PostTransaction
Exec = /usr/bin/sbctl sign -o /usr/lib/fwupd/efi/fwupdx64.efi.signed /usr/lib/fwupd/efi/fwupdx64.efi
Depends = sbctl
 
Последна промена:

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Корекција,
само што проверив, дифолтниот hook /usr/share/libalpm/hooks/zz-sbctl.hook веќе се активира на сите фајлови кои се инсталираат од pacman во usr/lib/**/efi/*.efi* и притоа се извршува sbctl sign-all -g - така да не се потребни двата мои hook-а од горе, доволно е еднаш да се направи:

Код:
sbctl sign --save -o  /usr/lib/fwupd/efi/fwupdx64.efi.signed  /usr/lib/fwupd/efi/fwupdx64.efi
sbctl sign --save -o  /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed  /usr/lib/systemd/boot/efi/systemd-bootx64.efi

после тоа, hook-от ќе ги држи .signed фајловите во sync, а тие се користат автоматски од соодветните tool-ови.
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
ok, ете го mkinitcpio-35.1-1 во core репото.

така да сега, освен горните 2 команди, доволно е само овој post hook во /etc/initcpio/post/sbctl:

Bash:
#! /bin/sh

exec /usr/bin/sbctl sign "$3"
(не заборавај chmod +x /etc/initcpio/post/sbctl)

и тоа е сѐ доволно/потребно за сѐ да биде автоматски потпишано при updates.
Мислењето е автоматски споено:

еве го во AUR
 
Последна промена:

barney

Intern
9 јуни 2017
113
23
така да сега, освен горните 2 команди, доволно е само овој post hook во /etc/initcpio/post/sbctl:
Повеќе ми се допаѓаат претходните две команди.
Ја прочитав документацијата на sbctl и забележав дека ако се користи sbctl bundle --save, нема потреба да се менува .persistent фајлот. Односно важи и обратното од она што го напиша ти.
сега за сега /usr/share/secureboot/ од кои *.keys фајловите се сензитивни. има некој предлог да подржува TPM2 енкрипција и/или yubikey стил на HSM-ови но тоа е за иднина.
За ова ќе треба повеќе да прочитам за енкрипција, односно не ми се познати поимите TPM2, HSM.
Код:
sbctl sign --save -o /usr/lib/fwupd/efi/fwupdx64.efi.signed /usr/lib/fwupd/efi/fwupdx64.efi
sbctl sign --save -o /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed /usr/lib/systemd/boot/efi/systemd-bootx64.efi
после тоа, hook-от ќе ги држи .signed фајловите во sync, а тие се користат автоматски од соодветните tool-ови.
Кај мене не постои /usr/lib/fwupd директориумот. Тука ми се наметна прашањето како да проверам кој пакет содржи одредена датотека? Ептен сум тазе на Arch Linux и не сум запознаен со package management.
За да автоматски се надоградува boot loader-от потребно е да се користи или hook или systemd-boot-update.service
Инаку не можев да тестирам update на boot loader и signing со sbctl бидејки "bootctl update" ми вели нема што да се менува, датотеките се иста верзија.
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Кај мене не постои /usr/lib/fwupd директориумот. Тука ми се наметна прашањето како да проверам кој пакет содржи одредена датотека? Ептен сум тазе на Arch Linux и не сум запознаен со package management.
па ок, не си инсталирал fwupd.

pacman -Ql <пакет> ти ги дава сите фајлови од одреден инсталиран пакет
pacman -Qo </патека/до/фајл> ти ги дава од кој инсталиран пакет е одреден фајл
pacman -F … (види ги опциите со --help) може да бара низ базата на сите фајлови на сите пакети кои се во Arch
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
 

gdamjan

Unstoppable
3 април 2008
3.494
2.435
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux

Нови мислења

Последни Теми

Статистика

Теми
46.585
Мислења
965.502
Членови
34.956
Огласи
2.660
Најнов член
DragiD
На врв Дно