Warum wurde ich aufgefordert, ein Passwort zu erstellen, um den sicheren Start bei der Erstinstallation von Ubuntu 16.04 zu deaktivieren?

30

Bei der Erstinstallation von Ubuntu 16.04 habe ich "Software von Drittanbietern installieren" deaktiviert und wurde aufgefordert, eine andere Option zu deaktivieren, mit der das Betriebssystempaket den sicheren Start automatisch deaktivieren kann Erstellen eines Kennworts, mit dem dieser gesamte Vorgang ausgeführt werden kann.

Nach dem Fortsetzen der Installation wurde mir nie angezeigt, dass das sichere Booten deaktiviert wurde, und ich wurde auch nie aufgefordert, das von mir erstellte Kennwort einzugeben.

Nach erfolgreicher Installation des Betriebssystems habe ich meinen Computer neu gestartet und das BIOS ausgecheckt. Im BIOS war der sichere Start immer noch aktiviert. Zurück in Ubuntu kann ich jedoch nahtlos MP3- und Flash-Dateien wiedergeben, was meines Erachtens darauf hinweist, dass die Installation von Software von Drittanbietern erfolgreich war.

Ich habe bis jetzt noch keine Probleme gehabt (abgesehen von der Tatsache, dass die Benutzeroberfläche manchmal etwas pingelig und fehlerhaft war), aber ich möchte gerne wissen, was in aller Welt ich durch das Erstellen dieses Passworts erreicht habe.

Was ist mit dem von mir erstellten Passwort passiert? Muss ich mich aus irgendeinem Grund daran erinnern? Es ist nicht dasselbe wie mein Login / Sudo-Passwort.

Hat Ubuntu mein BIOS permanent bearbeitet, um eine Ausnahme für sich zu machen? Wenn ja, wie kann ich diese Änderungen anzeigen und möglicherweise rückgängig machen? Kommt dort das Passwort rein?

Warum muss Ubuntu den sicheren Start deaktivieren / umgehen, um das Paket ubuntu-restricted-extras zu installieren? Ist meine Installation in Ordnung? Habe ich mich auf zukünftige Probleme eingestellt? Sollte ich eine Neuinstallation mit manuell deaktiviertem sicherem Start versuchen, um diese Eingabeaufforderung überhaupt nicht zu erhalten?

Zusätzliche Informationen: Ich verwende ein UEFI-System und starte Ubuntu 16.04 neben Windows 10 dual.

Ein anderer Benutzer hat hier eine Frage zu einem ähnlichen Problem gestellt. Im Gegensatz zu diesem Benutzer erhalte ich keine Warnung zum "Booten im unsicheren Modus", möchte aber auch wissen, ob Ubuntu eine Ausnahme für sich selbst erstellt hat und wie ich solche Ausnahmen verwalten kann. Im Gegensatz zu mir hat dieser Benutzer nichts darüber gesagt, dass er ein Passwort erstellen muss.

Ich konnte das Dialogfeld replizieren.  Hier ist es.

Hier sind einige zusätzliche Informationen.

Cosmo
quelle
1
Ubuntu 16.04 hat einige Änderungen an der Handhabung von Secure Boot vorgenommen, die ich selbst noch nicht vollständig erforscht habe. Einiges von dem, was ich weiß, ist in meiner Antwort auf diese Frage. Es würde mich interessieren, Ihre Ausgabe für den Befehl zu sehen hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. Die letzte Ziffer in der ersten Zeile (0 oder 1) gibt Ihren Secure Boot-Status an (inaktiv oder aktiv).
Rod Smith
1
0000000 0006 0000 0001 0000005Sieht so aus, als wäre es definitiv aktiv. Beachten Sie, dass ich es einige Male deaktiviert und wieder aktiviert habe, um festzustellen, ob etwas passieren würde, und nichts getan hat. Wieder läuft alles gut, ich fürchte nur, dass irgendwann in der Zukunft etwas schief gehen könnte. Nach dem Lesen einer Dokumentation scheint das temporäre Passwort eher als Ersatz für einen sicheren Start gedacht zu sein, als dass Ubuntu die Funktion selbst direkt unterstützt. In Anbetracht dessen, dass ich nie wieder danach gefragt wurde, ist die Funktion meines Erachtens unvollständig / fehlerhaft.
Cosmo
1
Nur ein Hinweis, ich könnte mich irren, dass das temporäre Passwort ein Ersatz für einen sicheren Start ist. Das ist einfach alles, was ich ohne zusätzliche Informationen verstehen kann, die ich nicht finden konnte. Was denkst du?
Cosmo
1
Ich fürchte, ich habe keine weiteren Gedanken zu diesem Thema. Es wird einige Zeit und Mühe kosten, diese jüngsten Änderungen zu untersuchen.
Rod Smith
1
Für den sicheren Start ist ein Kennwort erforderlich, das nicht leer sein darf und eine Art Authentifizierung erfordert. Aus diesem Grund hinterlassen Netzwerkadministratoren gesicherte Computersysteme ohne Kennwort für das Administratorkonto, da Sie sich ohne Kennwort nicht remote anmelden können.
Dorian

Antworten:

7

UEFI Secure Boot schützt Ihren Bootloader vor Manipulationen, indem eine Kombination aus CA-Schlüsseln und Signaturen in Startdateien verwendet wird. Microsoft hat beispielsweise Bootloader signiert, für die CA-Schlüssel bereits in der UEFI-Firmware der meisten PCs vorhanden sind.

Dies schützt nur den sehr frühen Kern des Laders und nichts danach. Zum Beispiel ist initrd (initramfs) nicht geschützt oder irgendetwas danach (GRUB, Kernel, Module, Treiber, irgendetwas im Userspace, etc).

Von Ihnen installierte Software von Drittanbietern enthält möglicherweise einen bestimmten Low-Level-PCI- oder RAID-Code, der für den Bootloader erforderlich ist. Aus diesem Grund müssen Sie ein Kennwort erstellen, mit dem ein Schlüssel im Bereich der UEFI-Firmware erstellt wird. Wenn das System nach Änderungen beim Booten etwas anderes bemerkt, stoppt das BIOS beim POST und fragt nach dem gleichen Passwort, das Sie bei der Installation eingegeben haben, um zu beweisen, dass Sie derjenige sind, der die Software installiert hat. Diese Methode stellt sicher, dass ein Benutzer, der physisch am Computer sitzt, dieses Kennwort als Bestätigung eingibt, da zum Zeitpunkt des BIOS-POST keine Software geladen werden kann, um dies vorzutäuschen.

Bei den meisten Benutzersystemen bietet der sichere Start nur einen geringen Schutz. Es verhindert weder Viren oder Malware noch deren Installation. All dies verhindert Manipulationen am Bootloader auf niedriger Ebene, die normalerweise durch grundlegende Antiviren- oder Betriebssystemsicherheit auf jeden Fall verhindert werden. Meiner Meinung nach und gemäß den meisten Dokumentationen kann es sicher deaktiviert werden.

Dorian
quelle
Das hört sich so an, als wäre es die Antwort, nach der ich suche! Obwohl ich ein Passwort erstellt habe, werde ich möglicherweise nie danach gefragt, es sei denn, ich ändere mein BIOS?
Cosmo
1
Nicht ganz. Möglicherweise werden Sie gefragt, ob Sie etwas installieren möchten, das den Bootloader modifiziert. Die UEFI-Firmware überprüft dies bei jedem Start und vergleicht die Signaturen dieser Dateien mit den in der Datenbank gespeicherten Schlüsseln.
Dorian
1
Meinen Sie nicht: "Bei den meisten Arten von Angriffen schützt ein sicherer Systemstart Sie nur wenig?"
Jpaugh
1
@jpaugh Du könntest das Wort attack verwenden, denke ich. Die meisten Infektionen / Viren / Malware gelten jedoch nicht als direkte Angriffe, da diese Dinge normalerweise nur in der Natur verbreitet werden, um alle und insbesondere niemanden zu infizieren. Aber ja, jemand, der aus der Ferne Zugriff auf Ihr System erhält und versucht, sich mit Ihrem Boot zu vergnügen, wird als Angriff angesehen.
Dorian
1
@ Cosmo Grub-Befehle sollten es nicht deaktivieren, da dies im Speicher ausgeführt wird, nachdem Grub bereits geladen wurde. Vielleicht versucht der Befehl, den Sie ausführen, ein Modul auszuführen, das zuvor noch nicht ausgeführt wurde, wodurch UEFI-Alarme ausgelöst werden ... Werden Sie nur zur Eingabe eines Kennworts aus Ihrem BIOS aufgefordert? Wenn Sie den sicheren Start im BIOS deaktivieren, wird er ohne Eingabeaufforderung ausgeführt?
Dorian