Az UEFI, a Secure Boot és a Linux Mint: Átfogó áttekintés
Az UEFI (Unified Extensible Firmware Interface) a modern számítógépek alapvető indítási mechanizmusa, amely felváltotta a hagyományos BIOS-t. Ez a technológia számos fejlesztést és új funkciót hozott, különösen a biztonság és a rendszerindítás sebessége terén. Habár a specifikusan 32 bites Linux Mint UEFI támogatásáról szóló információk korlátozottak a rendelkezésre álló anyagban, az UEFI és a Secure Boot alapvető működése, kihívásai és fejlesztései minden architektúra és Linux disztribúció, így a Linux Mint felhasználói számára is relevánsak.
Bevezetés az UEFI világába
Az UEFI Fórum folyamatosan fejleszti és frissíti a specifikációkat, melyek alapvetőek a modern rendszerek számára. Az UEFI Fórum 2024. december 17-én kiadta az UEFI 2.11 specifikációt, valamint a Platform Initialization (PI) 1.9 specifikációt.
Egyszerűbb Ubuntu telepítés UEFI-vel
Az AMI és a Canonical új partnersége forradalmasítja az Ubuntu telepítésének módját: az Aptio V UEFI firmware immár natív Ubuntu Cloud Installation menüponttal érkezik. Ez azt jelenti, hogy a felhasználók a firmware-ből közvetlenül indíthatják a hálózati Ubuntu-telepítőt, külső adathordozók nélkül. A megoldás egyszerűbbé teszi a telepítést, egységes élményt nyújt a különböző hardverplatformokon, és kifejezetten hasznos nagyobb infrastruktúrák automatizált kiépítésében.
A Secure Boot: Biztonság és kihívások
A Secure Boot egy olyan biztonsági funkció, amely a rendszerindítási folyamat integritását hivatott biztosítani. A funkció célja, hogy megakadályozza a jogosulatlan operációs rendszerek és illesztőprogramok futását a számítógépen a rendszerindítás során.
A Secure Boot működési elve
A Secure Boot digitális aláírásokat használ a rendszerindítás során betöltött szoftverek hitelességének ellenőrzésére. A digitális aláírás egy tanúsítvány a számítógép gyártójától, amely megerősíti az operációs rendszer és az illesztőprogramok biztonságát és hitelességét. Ha a digitális aláírás érvénytelen, a Secure Boot rendszer riasztja a felhasználót, és megakadályozza a rendszer elindítását. A Secure Boot fontos a számítógép biztonsága szempontjából, mert megakadályozza a rosszindulatú programok futtatását, amelyek lehetővé tehetik a támadók számára a személyes adatokhoz és a rendszer irányításához való hozzáférést.
A Secure Boot és a Linux: Történelmi nézet és normalizálódás
A Secure Boot funkció kezdeti bevezetése a szabad szoftveres közösségben hatalmas felháborodást keltett 2011-2012-ben. A Microsoft egyoldalúan kikényszerítette a Secure Boot alapértelmezésben bekapcsolt (de kikapcsolható!) állapotát a Windowszal előtelepített gépeken. Az ilyen számítógépeken ugyanis kizárólag a számítógép gyártója által elfogadott aláírással rendelkező rendszerek indultak el (a Secure Boot manuális kikapcsolásáig), ilyennel pedig kezdetben kizárólag a Microsoft rendelkezett.
Mára a helyzet némileg normalizálódott, a felek közötti kompromisszumos megoldásnak köszönhetően. A Microsoft, a PC-gyártók, a Verisign és a nagyobb Linux-disztribúciók (Ubuntu, Fedora, openSUSE) együttműködésének köszönhetően a gépekre felkerült az elismert disztrók egyedi kulcsa is, így aláírási joggal rendelkezik ma már több linuxos szereplő is. Ez azt jelenti, hogy ma már bekapcsolt Secure Boot mellett is telepíthető, illetve futtatható Linux, amennyiben a felhasználó a hivatalos fordítású, megbízható forrásból származó rendszert használja. Sőt, a kooperáció ma már ott tart, hogy a Canonical (az Ubuntu fejlesztője) is teljes mellszélességgel pártolja a Secure Bootot, és megköveteli annak létét az Ubuntuval piacra dobott gépek esetében.
Az idei év egyik jelentős fejlesztése a Linux kernel 6.17-es verziójában az UEFI Secure Boot Advanced Targeting (SBAT) támogatásának előkészítése. Ez a biztonsági mechanizmus a rendszerindítás folyamatát teszi még megbízhatóbbá és átláthatóbbá, amely a modern operációs rendszerek egyik kulcsfontosságú eleme.
A Secure Boot töréspontjai és sebezhetőségei
Annak ellenére, hogy a Secure Boot célja a rendszerbiztonság növelése, időről időre felmerülnek sebezhetőségek és kihívások. Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot.
A BlackLotus egy fejlett megoldás, amely képes megkerülni a Windows Secure Boot védelmét és amelyre először 2022 októberében a Kaspersky hívta fel a figyelmet. Ezt a Baton Drop (CVE-2022-21894, CVSS score: 4.4) nevű ismert Windows hiba kihasználásával éri el, amelyet a Secure Boot DBX visszavonási listájára fel nem vett sebezhető boot loadereket fedeztek fel.
Egy másik eset a Binarly biztonságtechnikai cég felfedezése, miszerint 2022 óta kb. 2023 januárjáig elérhető volt a Githubon egy még 2022-ben feltört kriptográfiai kulcspár, aminek a titkosított része ugyan jelszóval volt védve, de az csak 4 karakter hosszú volt. Az még nem világos, hogy mikor törölték, de a jelzett időtartamban elérhető volt.
BLACKLOTUS UEFI MALWARE | Forensics Guide
Linux Mint telepítési kérdések UEFI rendszereken
Ha a gépeden már telepítve van egy Windows kiadás és mellé szeretnéd telepíteni a Linux Mint valamelyik változatát, előfordulhat, hogy problémába ütközöl. A Secure Boot Linux Mint (és Ubuntu) alatt való problémáira korábban már felhívták a figyelmet. A telepítés során a felhasználóknak gyakran kell szembesülniük azzal a kérdéssel, hogy milyen gombot kell lenyomni a BOOT menühöz, és a BIOS-beállítások útvesztőjében eligazodni sem mindig egyszerű feladat.
Memóriatesztelés UEFI környezetben: A MemTest86+
A rendszerstabilitás és a megbízható működés elengedhetetlen, ehhez pedig hozzátartozik a memória megfelelő állapota. A MemTest86+ az egy számítógépes memória tesztelő eszköz, amely a számítógép memóriájának teljesítményét és megbízhatóságát teszteli.
A MemTest86+ bemutatása
Az alkalmazás különböző teszteket futtat a memóriában, hogy ellenőrizze, hogy nincsenek-e hibák vagy hibás memóriacellák. Ha a tesztelő ilyen hibákat talál, azzal jelezheti a felhasználónak, hogy szükséges a memória cseréje. A Memtest86+ egy önálló memóriatesztelő x86 és x86-64 architektúrájú számítógépekhez, és alaposabb memóriaellenőrzést biztosít, mint a BIOS memóriatesztek.
Megjelent a Memtest86+ 8.00, a legismertebb és legmegbízhatóbb nyílt forrású memóriatesztelő legújabb verziója. A szoftver továbbra is a GNU GPL v2.0 licenc alatt érhető el, és átfogóbb tesztelést nyújt, mint a BIOS beépített memóriatesztjei. A frissítés számos új CPU-platform támogatásával, továbbfejlesztett DDR5-kezeléssel és optimalizációkkal érkezik.
A MemTest86+ és az UEFI, 32 bites rendszerek támogatása
A Memtest86+ rugalmasan betölthető és futtatható. Akár közvetlenül a PC BIOS-ból (legacy vagy UEFI), akár egy olyan köztes bootloaderen keresztül is elindítható, amely támogatja a Linux 16 bites, 32 bites, 64 bites vagy EFI handover boot protokollt. Ez a képesség különösen releváns lehet a ritkább, 32 bites UEFI rendszerekkel rendelkező felhasználók számára, akiknek szükségük van a memória alapos ellenőrzésére.
tags: #linux #mint #uefi #32bit
