web-dev-qa-db-fra.com

Qu'est-ce que Mok est exactement à Linux?

Lors de l'installation de pilotes NVIDIA, j'ai été promu pour mettre en place un mot de passe MOK ou des pilotes tiers peut ne pas fonctionner correctement, alors j'ai créé un. Après redémarrage, j'ai été présenté avec un écran de gestion Blue Mok avec quelques options, le premier étant de continuer à démarrer. Je l'ai donc choisi et lorsque le démarrage était terminé, mon deuxième moniteur n'était pas reconnu. Rappelez-vous de lire quelque chose à propos de la mise en marche sécurisée Lorsqu'il est initialement invité à propos de Mok, j'ai démarré dans le BIOS et éteint le démarrage sécurisé. Maintenant, j'ai mon deuxième écran de retour. Plusieurs questions viennent à l'esprit.

  1. Tout d'abord, qu'est-ce que mok?
  2. Ai-je besoin de ça, et sinon, comment puis-je vous en débarrasser?
  3. Perdue la reconnaissance de mon deuxième écran en raison de l'installation de pilotes NVIDIA ou de la mise en place de Mok?
  4. Puis-je simplement garder un démarrage sécurisé?

Merci pour toute aide!

7
VernonB

AD 1)

Mok (clé de propriétaire de la machine) est à propos de la sécurisation du processus de démarrage en permettant uniquement à des composants et pilotes approuvés. Mok doit être implémenté par le "BIOS" - ou du code de démarrage à l'intérieur de l'ordinateur, de toute façon.

L'idée principale est que seuls le code qui est signé est autorisé à exécuter lors du chargement du système d'exploitation (OS). Une fois que cela est démarré, le système d'exploitation peut assumer la responsabilité de la sécurisation du système du BIOS.

Le système MOK utilise la cryptographie de clé publique, ce qui signifie que vous pouvez créer une paire de clé, puis signer, avec votre clé privée/secrète, tous les composants autorisés à exécuter. Cela inclut le GRUB chargeur de démarrage lui-même. Ensuite, le BIOS utilise votre clé publique (vous devez l'installer) pour vérifier les signatures avant d'exécuter le code.

Voici quelques documents sur le démarrage sécurisé et le mok

La beauté de Mok, dans mon opinion personnelle, est que vous pouvez créer vous-même des clés et signer ces composants que vous avez confiance. Dans le passé, le BIOS EFI n'avait que Microsoft 'Public Key installé et ils hésitaient à signer des chargeurs de démarrage Linux :-) C'est pourquoi vous aviez besoin d'une cale dans le passé (un passage entre EFI BIOS et GRUB).

Toutes les méthodes de démarrage sécurisées espèrent sécuriser le système des pirates et des virus en garantissant un système bien amorcé qui n'est pas altéré par des logiciels malveillants. Si le code de démarrage ou les pilotes a été altéré, il est détecté afin que vous puissiez agir en conséquence.

Kyle Rankin a fait beaucoup de travail sur la sécurisation du processus de démarrage de la gamme de livres ordinateurs portables, et voici un bon article sur son travail . Je crois que cela vaut la peine de lire même s'il n'est pas directement applicable à votre système - l'idée est la même chose.

AD 2) et 4)

Avez-vous besoin de mok et de démarrage sécurisé? Pas si vous ne serez jamais attaqué avec succès par un pirate informatique, surtout celui qui pourrait avoir un accès physique à votre ordinateur portable ou gagne un accès racine à partir d'Internet via les bogues de navigateur/Office/Linux.

1
Ned64