@Osk 打错了，应该是 secureboot/firmware -> shim -> grub2 ->kernel，漏了一个 grub2

@jim9606 secure boot 我猜微软是想配合 bitlocker 等安全手段使用的，毕竟启用了 secure boot 内核安全了，但启动个 pe 往 c 盘里放个木马什么的就喜剧了，secure boot 也保不了。

Linux 这边只使用 secure boot 可以说真没啥意义，和 Windows 只使用 Secure Boot 一样，纯粹添堵。但一旦启用 luks 加密 / 后，不验证 initramfs 的风险就变得极大了，secure boot 信任 shim, shim 信任 kernel，但不验证 initramfs，initramfs 可以被修改加入恶意代码，比如添加一个脚本往解密后的 rootfs 植入恶意程序，或者窃取 luks key，这些攻击的成本都极低。

而 windows 的 bootmgr 好像没有类似的风险，毕竟功能少，攻击面少，不像 grub/initramfs 太过强大。(这里待验证，也许 bootmgr 有类似的风险但我没了解到，也不排除 bootmgr 在未来出现漏洞)

对于这个问题，systemd bootloader 有一个很有趣的解决方案，archlinux 上可以很方便地将 bootloader + kernel + initramfs + intel ucode + kernel cmdline 打包到一个 efi 文件中，然后对整个 efi 文件 secure boot 签名，安全上很不错，然而操作太麻烦，且需要自己生成 secure boot 的各种证书。

@LokiSharp GRUB2 和 Linux 发行版的问题在于 MS 认可的 CA 给他们签名了 shim, 让他们可以在开启 secure boot 的情况下正常加载 grub2 并启动 Linux, 然而 grub2 出现了不仅影响 Linux 自身甚至影响其它操作系统的安全漏洞...

比如 ubuntu, 很久前就被报道过类似的问题, 也不知道修复没有, 甚至很难修复, 前一阵子微软通过 Windows Update 更新 secure boot 的证书库, 据说炸了一些 HP 的商用电脑.

@spcharc 雷电 3 现在有内核 DMA 隔离保护了, BIOS 代码本身的保护 Intel 好像也有方案, BIOS 密码如果有需要的用户或者一些企业是会设置好的, Secure Boot 关闭后, 开机界面是会显示警告的(似乎是 BIOS 显示,这类设备太少, 无法验证是 OS 显示的还是 BIOS 显示的警告).

硬件安全防护方案并不是一文不值的, 针对硬件的攻击确实有, 只要攻击的代价足够高, 就是有意义的.

@bitdepth 😄只是少有在大新闻上看到 Linux 社区在反对 Bootloader 锁的文章, 反对 Secure Boot 的新闻当时算是头条.

这真的是 V 站吗? Secure Boot 只是安全环节中的一环啊.

其它环节出现漏洞了, Secure Boot 不背锅, 别怪 Secure Boot 没用, secure boot 环节出漏洞了, 除非有其它的验证手段, 不然整个安全环节就崩了.


Windows 8 提出 Secure Boot 后, 网上基本一片骂声, 有 Windows 社区的, 有 Linux 社区的, 但我在收集一些资料后我并不觉得这是一个很糟糕的功能, 相反, 它解决了一个痛点: 启动文件的验证, 在没有 Secure Boot 之前, 普通 PC 上大概只有通过 TPM 来达到一定的保护效果, 但当时 TPM 1.2 可不是大白菜遍地都有,而且有政策风险.

那么 Linux 呢? 我觉得 Linux 在这方面做得很垃圾, 是的, 就是垃圾, Secure Boot 居然不验证 Initramfs (RedHat, Ubuntu 默认不验证). Initramfs 里面被人插入恶意代码了都不知道, 简直是一个巨大的安全风险. Archlinux 好一点, 可以手动配置全验证.

Linux 社区做的好事就是逼微软加入了 Secure Boot 的开关.


Secure Boot 保护的是启动阶段的流程是安全的, 避免 rootkit 在 OS 启动前就执行恶意代码, 不然你 OS 里面装再多安全方案也是隐患. 对于大部分的 Linux 发行版来说, 确实是鸡肋, 启用后自己编一个 ko 插入都麻烦.

再说下去有人会认为我在黑 Linux 了, 以及类似于 "被迫害妄想症" 这样的言论出现.

另外, linux 社区真的很双标, 微软启用 Secure Boot 就是要搞垄断, 咋不说说一些 Linux/Android 设备上使用类似于 Secure Boot 的 bootloader 锁呢, 还不给解锁那种.

grub2 让安全启动不再安全已经不是第一次了，相信也不是第二次。

linux 这边对安全启动的需求感觉就是：我才不管安不安全，我只管能在开启安全启动时能正常启动

我一向都是随便找一张图当头像，很少用重复的

关注，看看滴滴的全程录音是不是有用

一看就是没被 360 天擎毒打过的 :doge:

老哥这不怪我啊，你时不时地切到 p 站去，我想假装没看到也难呀

啥？还有 server 到 client 这种降级路线？

对了，猪场的 web 端现在动不动把我踢下线，提示设备数量超了？？？

一个 Android 端 + 两个 web 端登陆也叫超了？

//v2ex.com/t/651288

请注意 KiB 和 KB 的关系

macOs 是对的，Windows 瞎搞

首先可以确定的是 Windows 10 oem 授权肯定是不可转移的，这也是 oem 版更便宜的原因之一，然后是 office，我账号里面有 office 2016，之前试过了，不可转移！但刚才试了下，居然转移成功了？？？

不过我有 office 365，鸡肋的家庭版只有 3 件套看不上。。。

怀疑你暗示某几家 ca 。

如果目标价值足够大，为啥不能用来 mitm 呢，然后称失误发错证书了。

不过我总觉得没必要，如果该 ca 发生过一两次 mitm， 估计搞事儿的会毫不犹豫地把该 ca 拉黑。

另外，很多工具用的是自签证书，根本不会理会系统的 ca 列表