Mengapa saya diminta membuat kata sandi untuk menonaktifkan boot aman pada instalasi awal Ubuntu 16.04?

30

Pada instalasi awal Ubuntu 16.04, saya mencentang "Instal perangkat lunak pihak ketiga" dan, di bawahnya, saya diminta untuk mencentang opsi lain yang akan memungkinkan paket OS untuk secara otomatis menonaktifkan boot aman sendiri, prasyarat di antaranya adalah membuat kata sandi yang entah bagaimana memungkinkan seluruh proses ini terjadi.

Setelah melanjutkan instalasi, saya tidak pernah diberi indikasi bahwa penonaktifan boot aman ini telah terjadi, dan saya tidak pernah diminta memasukkan kata sandi yang saya buat.

Setelah instalasi OS berhasil, saya me-restart komputer saya dan memeriksa BIOS. Di BIOS, boot aman masih diaktifkan. Namun, kembali di Ubuntu, saya dapat memutar file MP3 dan Flash dengan lancar, yang saya asumsikan menunjukkan bahwa pemasangan perangkat lunak pihak ketiga berhasil.

Saya belum mengalami masalah apa pun (selain fakta bahwa UI terkadang agak rewel dan bermasalah), tetapi saya ingin tahu apa yang sebenarnya saya capai dengan membuat kata sandi itu.

Apa yang terjadi pada kata sandi yang saya buat? Apakah saya perlu mengingatnya untuk alasan apa pun? Ini tidak sama dengan kata sandi login / sudo saya.

Sudahkah Ubuntu mengedit BIOS saya secara permanen untuk membuat pengecualian untuk dirinya sendiri? Jika demikian, bagaimana saya bisa melihat perubahan ini dan berpotensi membatalkannya? Apakah itu tempat kata sandi masuk?

Mengapa Ubuntu perlu menonaktifkan / mem-bypass boot aman untuk menginstal paket tambahan ubuntu-dibatasi? Apakah instalasi saya baik-baik saja? Sudahkah saya menyiapkan diri untuk masalah di masa depan? Haruskah saya mencoba menginstal ulang dengan boot aman yang dinonaktifkan secara manual karena tidak menerima prompt itu sejak awal?

Informasi tambahan: Saya menjalankan sistem UEFI, dan saya dual-boot Ubuntu 16,04 bersama Windows 10.

Pengguna lain telah mengajukan pertanyaan tentang masalah serupa di sini. Tidak seperti pengguna ini, saya tidak menerima peringatan tentang "booting dalam mode tidak aman," tetapi saya juga ingin tahu apakah Ubuntu telah membuat pengecualian untuk dirinya sendiri dan bagaimana saya bisa mengelola pengecualian seperti itu. Tidak seperti saya, pengguna ini tidak menyebutkan apa pun tentang keharusan membuat kata sandi.

Saya berhasil meniru kotak dialog. Ini dia.

Ini beberapa informasi tambahan.

dual-boot uefi password secure-boot Cosmo
sumber
1
Ubuntu 16.04 telah membuat beberapa perubahan pada penanganan Boot Aman yang belum saya jelajahi sepenuhnya; Namun, beberapa dari apa yang saya ketahui adalah jawaban saya untuk pertanyaan ini. Saya akan tertarik untuk melihat output Anda ke perintah hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. Digit terakhir pada baris pertama (0 atau 1) menunjukkan status Boot Aman Anda (tidak aktif atau aktif).
Rod Smith
1
0000000 0006 0000 0001 0000005Sepertinya sudah pasti aktif. Perhatikan bahwa saya telah menonaktifkan dan mengaktifkannya kembali beberapa kali untuk melihat apakah sesuatu akan terjadi, dan tidak ada yang berhasil. Sekali lagi, semuanya berjalan dengan baik sejauh ini, satu-satunya ketakutan saya adalah bahwa ada sesuatu yang salah di masa depan. Setelah membaca beberapa dokumentasi, tampaknya kata sandi sementara dimaksudkan untuk bertindak sebagai pengganti untuk boot aman daripada Ubuntu yang secara langsung mendukung fitur itu sendiri. Mengingat saya tidak pernah diminta lagi, tebakan terbaik saya adalah bahwa fitur tidak lengkap / disadap.
Cosmo
1
Hanya kepala-up, saya mungkin salah tentang kata sandi sementara menjadi pengganti untuk boot aman. Hanya itu yang bisa saya pahami sebagai tanpa informasi tambahan, yang tidak dapat saya temukan. Apa yang kamu pikirkan?
Cosmo
1
Saya khawatir saya tidak memiliki pemikiran lebih lanjut tentang masalah ini. Butuh waktu dan upaya bagi saya untuk menyelidiki perubahan terbaru ini.
Rod Smith
1
Boot aman memerlukan kata sandi, tidak boleh kosong dan perlu semacam otentikasi. Inilah sebabnya mengapa administrator jaringan akan meninggalkan sistem komputer yang aman tanpa kata sandi untuk akun admin, karena Anda tidak dapat login dari jarak jauh tanpa kata sandi.
Dorian

Jawaban:

7

UEFI Secure Boot melindungi boot loader Anda dari gangguan dengan menggunakan kombinasi kunci CA dan tanda tangan dalam file boot. Microsoft misalnya telah menandatangani boot loader yang kunci CA-nya sudah ada dalam firmware UEFI di sebagian besar PC.

Ini hanya melindungi inti loader yang paling awal dan tidak ada yang sesudahnya. Misalnya initrd (initramfs) tidak dilindungi, atau apa pun setelahnya (GRUB, kernel, Modul, Driver, apa pun di userspace, dll).

Perangkat lunak pihak ke-3 yang Anda instal MUNGKIN sudah termasuk kode PCI atau RAID tingkat rendah tertentu yang diperlukan untuk boot loader, itulah sebabnya Anda perlu membuat kata sandi, yang akan membuat kunci di ruang firmware UEFI. Setelah modifikasi, jika sistem memperhatikan sesuatu yang berbeda pada saat boot, BIOS akan berhenti pada POST dan meminta kata sandi yang sama yang Anda masukkan selama instalasi untuk membuktikan bahwa Anda adalah orang yang menginstal perangkat lunak. Metode ini memastikan bahwa pengguna yang secara fisik duduk di komputer memasukkan kata sandi ini sebagai konfirmasi karena tidak ada perangkat lunak yang dapat dimuat pada waktu BIOS POST untuk memalsukan ini.

Untuk sebagian besar sistem pengguna, boot aman tidak banyak melindungi Anda. Itu tidak mencegah virus atau malware, atau pemasangan itu. Semua itu mencegah gangguan bootloader tingkat rendah, yang biasanya dicegah dengan antivirus dasar atau keamanan OS. Menurut pendapat saya, dan menurut sebagian besar dokumentasi di luar sana, itu dapat dinonaktifkan dengan aman.

Dorian
sumber
Sepertinya ini jawaban yang saya cari! Jadi, meskipun membuat kata sandi, saya mungkin tidak pernah diminta untuk melakukannya kecuali saya membuat modifikasi pada BIOS saya?
Cosmo
1
Tidak terlalu. Anda mungkin diminta untuk itu jika Anda menginstal sesuatu yang memodifikasi boot loader, yang diperiksa oleh firmware UEFI di setiap bootup dan membandingkan tanda tangan file-file itu dengan kunci yang disimpan dalam database-nya.
Dorian
1
Bukankah maksud Anda, "untuk sebagian besar jenis serangan , boot aman tidak banyak melindungi Anda?"
jpaugh
1
@ jpaugh Kamu bisa menggunakan kata attack, kurasa. Namun, sebagian besar infeksi / virus / malware tidak dianggap sebagai serangan langsung karena biasanya hal-hal ini hanya ditetapkan di alam liar untuk menginfeksi dan menyebar ke semua orang, dan tidak ada orang pada khususnya. Tapi ya, seseorang yang mendapatkan akses ke sistem Anda dari jarak jauh dan mencoba mengacaukan boot Anda akan dianggap sebagai serangan.
Dorian
1
Perintah @Cosmo grub seharusnya tidak mematikannya karena ini berjalan di memori setelah grub telah dimuat. Tapi mungkin perintah yang Anda jalankan adalah mencoba menjalankan modul yang tidak berjalan sebelumnya, yang mematikan alarm UEFI ... Apakah Anda hanya diminta kata sandi dari BIOS Anda? Jika Anda menonaktifkan boot aman di BIOS apakah itu berjalan tanpa prompt?
Dorian