Por que me pediram para criar uma senha para desativar a inicialização segura na instalação inicial do Ubuntu 16.04?

30

Na instalação inicial do Ubuntu 16.04, desmarquei a opção "Instalar software de terceiros" e, por baixo dele, fui solicitado a desmarcar outra opção que permitiria que o pacote do sistema operacional desabilitasse automaticamente a inicialização segura por conta própria, um pré-requisito que era criando uma senha que de alguma forma permita que todo esse processo ocorra.

Depois de continuar com a instalação, nunca recebi nenhuma indicação de que essa desativação da inicialização segura havia ocorrido, nem fui solicitado a inserir a senha que havia criado.

Após a instalação bem-sucedida do sistema operacional, reiniciei o computador e verifiquei o BIOS. No BIOS, a inicialização segura ainda estava ativada. No entanto, no Ubuntu, sou capaz de reproduzir arquivos MP3 e Flash perfeitamente, o que suponho indicar que a instalação de software de terceiros foi bem-sucedida.

Ainda não encontrei nenhum problema (além do fato de a interface do usuário ter sido um pouco complicada às vezes), mas gostaria de saber o que realmente consegui ao criar essa senha.

O que aconteceu com a senha que eu criei? Vou precisar me lembrar por algum motivo? Não é o mesmo que minha senha de login / sudo.

O Ubuntu editou permanentemente meu BIOS para abrir uma exceção por si mesmo? Em caso afirmativo, como posso visualizar essas alterações e potencialmente desfazê-las? É aí que a senha entra?

Por que o Ubuntu precisa desativar / ignorar a inicialização segura para instalar o pacote ubuntu-strict-extras de qualquer maneira? Minha instalação está boa? Eu me preparei para problemas futuros? Devo tentar reinstalar com a inicialização segura desativada manualmente para não receber esse prompt em primeiro lugar?

Informações adicionais: Estou executando um sistema UEFI e inicializando o Ubuntu 16.04 com o Windows 10.

Outro usuário fez uma pergunta sobre um problema semelhante aqui. Diferentemente deste usuário, não recebo um aviso sobre "inicializar em modo inseguro", mas também gostaria de saber se o Ubuntu criou uma exceção para si e como eu poderia gerenciar essas exceções. Diferentemente de mim, esse usuário não mencionou nada sobre ter que criar uma senha.

Eu consegui replicar a caixa de diálogo. Aqui está.

Aqui estão algumas informações adicionais.

dual-boot  uefi  password  secure-boot 
Cosmo
fonte
1
O Ubuntu 16.04 fez algumas mudanças no manuseio do Secure Boot que eu ainda tenho que explorar completamente; no entanto, parte do que sei está na minha resposta a esta pergunta. Eu ficaria interessado em ver sua saída para o comando hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. O último dígito na primeira linha (0 ou 1) indica o status do Secure Boot (inativo ou ativo).
Rod Smith
1
0000000 0006 0000 0001 0000005Parece que está definitivamente ativo. Observe que eu desativei e o reativei algumas vezes para ver se algo aconteceria e nada aconteceu. Mais uma vez, tudo está indo bem até agora, meu único medo é que algo possa dar errado em algum momento no futuro. Depois de ler alguma documentação, parece que a senha temporária deve funcionar como uma espécie de substituto para a inicialização segura, em vez de o Ubuntu suportar diretamente o próprio recurso. Considerando que nunca mais fui solicitado, meu melhor palpite é que o recurso está incompleto / com erros.
Cosmo
1
Apenas um aviso, posso estar errado sobre a senha temporária ser um substituto para a inicialização segura. Isso é tudo o que consigo entender como sendo sem informações adicionais, as quais não consegui encontrar. O que você acha?
Cosmo
1
Receio não ter mais pensamentos sobre esse assunto. Levará algum tempo e esforço para investigar essas mudanças recentes.
Rod Smith
1
A inicialização segura requer uma senha, não pode ficar em branco e precisa de algum tipo de autenticação. É por isso que os administradores de rede deixarão os sistemas de computador protegidos sem senha para a conta de administrador, porque você não pode fazer login remotamente sem uma senha.
Dorian

Respostas:

7

O UEFI Secure Boot protege seu carregador de inicialização contra violações usando uma combinação de chaves e assinaturas CA nos arquivos de inicialização. A Microsoft, por exemplo, assinou carregadores de inicialização para os quais as chaves CA já estão presentes no firmware UEFI da maioria dos PCs.

Isso protege apenas o núcleo inicial do carregador e nada depois. Por exemplo, initrd (initramfs) não está protegido ou nada depois (GRUB, kernel, módulos, drivers, qualquer coisa no espaço do usuário, etc.).

O software de terceiros que você instalou PODE incluir certos códigos PCI ou RAID de baixo nível necessários para o carregador de inicialização, e é por isso que você precisa criar uma senha, que criará uma chave no espaço do firmware UEFI. Após as modificações, se o sistema perceber algo diferente no momento da inicialização, o BIOS irá parar no POST e solicitará a mesma senha digitada durante a instalação para provar que você foi quem instalou o software. Esse método garante que um usuário sentado fisicamente no computador esteja inserindo essa senha como confirmação, pois nenhum software pode ser carregado no momento do BIOS POST para falsificá-lo.

Para a maioria dos sistemas de usuários, a inicialização segura faz pouco para protegê-lo. Não impede vírus, malware ou instalação desses. Tudo isso evita a adulteração de baixo nível do carregador de inicialização, que geralmente é impedida pelo antivírus básico ou pela segurança do sistema operacional. Na minha opinião, e de acordo com a maioria da documentação existente, ela pode ser desativada com segurança.

Dorian
fonte
Parece que pode ser a resposta que estou procurando! Portanto, apesar de criar uma senha, talvez nunca seja solicitada, a menos que eu faça modificações no meu BIOS?
Cosmo
1
Não é bem assim. Você pode ser solicitado se instalar algo que modifique o carregador de inicialização, que é o que o firmware UEFI verifica a cada inicialização e compara as assinaturas desses arquivos às chaves armazenadas em seu banco de dados.
Dorian
1
Você não quer dizer "para a maioria dos ataques , a inicialização segura faz pouco para protegê-lo?"
jpaugh
1
@jpaugh Você poderia usar a palavra ataque, eu acho. No entanto, a maioria das infecções / vírus / malware não é considerada um ataque direto, pois, geralmente, essas coisas são colocadas na natureza para infectar e se espalhar para todos, e para ninguém em particular. Mas sim, alguém que tenha acesso ao seu sistema remotamente e tente mexer na sua inicialização seria considerado um ataque.
Dorian
1
Os comandos do Cosmo grub não devem desativá-lo, pois isso é executado na memória após o carregamento do grub. Mas talvez o comando que você está executando esteja tentando executar um módulo que não foi executado antes, que está acionando os alarmes UEFI ... Você está apenas solicitando uma senha do BIOS? Se você desabilitar a inicialização segura no BIOS, ela será executada sem aviso?
Dorian
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.