Administrace komentářů

kdyz nabootuju initrd s dropbear, tak uz nemam siftovanej boot nebo mam init na nesifrovanem EFI oddilu a na stroji kde nemam SecureBoot nemuzu podepsat vlastnima klicema tento initrd, TPM v tom stroji sice je, ale nechci nechat startovat utocnikovi system i kdyz by byl vypplej autologin... navic s TPM pro ulozeni klicu sem experimentoval pred rokem a nedarilo se, vim ze tehdy nekdo na rootu resil nejake pomocne skripty a podarilo se mu to ale to sem uz nezkousel a ted si nevzpomenu kdo a kde :)

takze vyzkousim serial unlock grub-luks z rpi :)

btw: oprasil sem netbook Lenovo Yoga 300 kterej ma SecureBoot("akorat" nejdou klice nahravat pres BIOS primo), a misto Grub sem pouzil sicherboot, bylo to necekane za chvili zprovoznene, v *buntu staci(pro pripadne kolemjdouci):

# instalace
sudo apt install sicherboot

# pripadna uprava nastaveni, menil sem pouze CN aby misto MACHINE_ID tam bylo neco srozimetelneho, ale neni treba
sudo mcedit /etc/sicherboot/sicherboot.conf
# priprava cmdline (to je nutne, vychozi neni nic, minimalne aspon pridat prazdnej soubor)
sudo touch /etc/kernel/cmdline
# nebo dat bezne/rozumne parametry:
echo "splash quiet net.ifnames=0" | sudo tee /etc/kernel/cmdline

# vygenerovani klicu, nahrani klicu do EFI oddilu(pro pozdeji nahradni do BIOSu), instalace do EFI, "zabaleni+podepsani" (beziciho)jadra+init do EFI
# odpovidat na vse yes... (warningu "data remaining[XXXXX vs YYYYY]: gaps between PE/COFF sections?" netreba si vsimat
sudo sicherboot setup

pak v BIOSu (pokud to umoznuje) vymazat vse vychozi a nahrat z EFI/Keys pripravene PK, KEK a db, pokud neumoznuje primo nahrat, tak bude volba neco jako "Remove keys and switch do SetupMode" nasledne restart a sicherboot nahodi KeyTool v kterem lze rucne importovat KEK, db, PK(toto jako POSLEDNI, jinak mi to proslo ale v BIOSu se SecureBoot hlasil status stale jako disabled)...

po overeni, nastavit heslo pro vstup do BIOSu (aby nemohl utocnik zakazat SecureBoot (otazka zda to nezakaze rozebranim stroje a kdyz ne jumperem/baterkou tak reflashem bios chipu))

a NEzapomenout z EFI oddilu smazat adresar Keys (byl jen pro potreby nahrani do EFI, ted uz tam byt nesmi aby na nesifrovanem EFI si to nikdo nezkopiroval a nepodepsal tim svuj upravenej "zavadec"

od ted pri aktualizaci jadra (resp. minimalne pri (re/)generovani initramfs se bude samo regenerovat i "sicherboot" kernel+init+sign balicek do EFI oddilu...


bohuzel to ma cele 1 neprijemnost a to ze s aktivovanym SecureBoot NEFUNGUJE HIBERNACE, resp. je to nezavisle na sicherboot, nemuzu ted dohledat link na bugreport kterej sem nasel na te Yoga, kde od urciteho patch jadra pred par lety to bylo umyslne zakazane a zatim to NENI vyresene... udajne je to kvuli tomu ze uspanej image NElze zkontrolovat podpis, coz mi prijde ze by bylo lepsi moznost hibernace nechat a uzivatel by mel stale bezpecnej cistej start a hibernaci (z sifrovaneho SWAP) mel na vlastni triko, nez "nutit" uzivatele co chteji hibernaci (coz bych pocital ze jsou vsichni co to nemaji jen jako nahradu tabletu na surfovani) museli kompletne SecureBoot zakazovat...