Login
Login-Name Passwort


 
Newsletter
Werbung

Thema: Streit um Kernel-Lockdown

20 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von schmidicom am Do, 5. April 2018 um 15:04 #

Schon möglich das dieses Lockdown-Feature ohne so etwas wie SecureBoot nur wenig Sinn macht aber für mich persönlich ist das ebenfalls noch lange kein Grund sie miteinander zu Verknüpfen und irgendwelche Automatismen einzubauen die das Verhalten des Kernels je nach Situation verändern.

Kommt mir vor wie vorgekautes Denken und darauf kann ich verzichten...

  • 1
    Von hh am Do, 5. April 2018 um 17:24 #

    Schon möglich das dieses Lockdown-Feature ohne so etwas wie SecureBoot nur wenig Sinn macht ...

    Es gibt noch andere Möglichkeiten als SecureBoot, um nur signierte Kernels zu booten.

    • 0
      Von schmidicom am Do, 5. April 2018 um 19:56 #

      Genau deswegen habe ich auch "...so etwas wie..." geschrieben. Darunter fällt dann auch das was so ziemlich jeder Bootloader eines jeden Smartphone macht.

      Dieser Beitrag wurde 1 mal editiert. Zuletzt am 05. Apr 2018 um 19:57.
2
Von Holger H. am Do, 5. April 2018 um 17:04 #

Aus meiner Sicht ist SecureBoot nicht die Lösung für Linux, weil das Microsoft die absolute Macht und Gnade über alle Systeme gibt.
Es wäre richtiger CoreBoot (und ähnliche Projekte) endlich als CII Projekt der Linux Foundation zu erklären & vereinen und damit die finanziellen und personellen Kapazitäten zu schaffen, damit die Macht und der Einfluss von Microsoft beschränkt, und nicht gestärkt wird.

Das wäre dann auch ein Weg in eine befreite Zukunft, anstatt freiwillig einem Monopolisten ohne Druck noch mehr Macht über die IT Landschaft zu geben!
Einmal ganz davon abgesehen, das Microsoft es bereits geschafft hat, seine SecureBoot Infrastruktur [1] kaputt zupatchen, will man einen solch »fähigen« Anbieter wirklich das Feld überlassen?

[1] https://heise.de/-3291946

1
Von hh am Do, 5. April 2018 um 17:39 #

Linus scheint ja zu denken, dass die Kopplung von SecureBoot und Kernel-Lockdown gewisse Gründe hat, die aber nicht verraten werden. Er hat ja mehrfach Garret danach gefragt, ohne wirklich eine Antwort zu erhalten.

Wer hat da auch keine Bedenken? SecureBoot soll automatisch Kernel-Lockdown auslösen, root verliert somit die absolute Gewalt über das System.
Laut Garret kann ja der, der das nicht will, SecureBoot ausschalten. Seiner Meinung nach geht das auf 100% aller Systeme.
Das mag für x86 im Moment noch stimmen, für ARM stimmt das aber z.B. nicht. Und wer garantiert, dass das immer so bleibt?

  • 0
    Von mw am Fr, 6. April 2018 um 07:36 #

    Lange Zeit hat M$ versucht Linux tot zu machen. Inzwischen ist ihre Strategie intelligenre und perfider geworden. Sie unterwandern das Ecosystem GNU/Linux (wobei das bei GNU dank Richard nicht ganz so einfach ist). Mehr und mehr werden die anti-freiheitlichen features unter den unterschiedlichsten Deckmäntelchen implementiert: so z. B. (OT) DRM in FF.
    Der Convinience Gedanke hat nicht nur die Gehirne der DAUs aufgefressen, sondern beginnt auch die Intelligenz der Entwickler zu vernichten.
    Die 68er waren vor 50 Jahren. Es hat eine revolution im Denken stattgefunden. Die Zeit ist wieder mal reif dafür.

    • 0
      Von Jürgen Sauer am Fr, 6. April 2018 um 09:28 #

      Bei den Beispielen für den Vernichtungsfeldzug sollte man auch an dieser Verstümmelungen denken:

      - CUPS (Drucksystem) wurde durch das Einkaufen von Michael Sweet für Linux/**BSD User zur Unbrauchbarkeit in Punkto Netzwerk Browsing zerstört (die elegante Netzwerk Druckerei von Cups war ja kein Apple Produkt). Drecksladen!

      - OpenOffice von Oracle zerstört (wäre auch virtual Box passiert, stünde es nicht unter GPL)

      ...

    0
    Von Jürgen Sauer am Fr, 6. April 2018 um 09:29 #

    Ja, der Besitzer eines Systems hat volles Eigentumsrecht, da gehören Root-Rechte unteibar dazu.

    0
    Von Joh Gurt am Sa, 7. April 2018 um 10:05 #

    > Laut Garret kann ja der, der das nicht will, SecureBoot ausschalten. Seiner Meinung nach geht das auf 100% aller Systeme.

    Laut den Kommentaren geht das bereits nicht mehr auf zB Acer's S and E series laptops.

0
Von cyberpatrol am Fr, 6. April 2018 um 11:20 #

Es soll auch Rechner geben, die erfreulicherweise weder UEFI noch SecureBoot haben, auf denen Linux aber dennoch läuft und das wichtigste Betriebssystem ist, z.B. die Raspberry Pis.

Aber so weit denken die bei Redhat und bei Google natürlich nicht.

Ein Schelm, wer Böses dabei denkt, bei dem von Redhat und Google gewünschten SecureBoot-Zwang.

  • 0
    Von OHMANN am Fr, 6. April 2018 um 14:17 #

    Lesen und insbesondere Verstehen von Artikeln ist nicht so Dein Ding, oder?

    Kleiner Tipp: Kernel-Lockdown wie hier diskutiert bedeutet NICHT, das man ein System mit Secure Boot benötigt, um Linux zu starten.
    Es bedeutet, WENN man ein System mit Secure Boot hat und Kernel Lockdown in den Linux-Kernel aufgenommen wird, dann ... (hier bitte die richtige Antwort einsetzen, nachdem Du den Artikel noch mal gelesen und hoffentlich verstanden hast)

    • 1
      Von ,.- am So, 8. April 2018 um 16:13 #

      Das kann auch in Kürze Folgendes bedeuten:

      Wenn nur noch Rechnersysteme und Mainboards mit Secure Boot zwingend angeboten und verkauft werden und Kernel Lockdown in den Linux-Kernel aufgenommen wird, dann ... ist GNU/Linux endgültig überflüssig geworden.

      Angesichts von IME und PSP ist es das im Grunde schon heute, zumindest auf Rechnern, die jünger sind als etwa 5 (AMD) bis 10 (Intel) Jahre. Der GNU/Linux-Nutzer besitzt auf solchen Systemen keinerlei Kontrolle mehr über die eigene Rechner-Hardware.

      Imsofern ist diese Secure Boot-/Kernel Lockdown-Combo der letzte Sargnagel für Linux-Betriebssysteme, den es braucht, um auch diese Systeme völlig unter Fremdkontrolle stellen zu können.

      Secure Boot, UEFI BIOS und IME/PSP zusammen haben freie Betriebssysteme endgültig ad absurdum geführt.

      Es ist ja so schön, wenn man mit einem vom Hardware-Hersteller vorgegebenen Nutzer-Rechte-Set noch sein Linux bedienen darf, auch wenn die zugrundeliegende Firmware samt eingebauten Netzwerk- und Serverfunktionen ansonsten macht, was Andere wollen und der Linuxkernel auf diese Vorgänge keinerlei Zugriff mehr hat.

      Jetzt fehlt eigentlich nur noch eine internationale Vereinbarung, die Secure Boot verbindlich für alle Rechnersysteme vorschreibt, die aufs Internet allgemein oder bestimmte Dienste wie Elster, PayPal oder Online-Banking zugreifen möchten.

      • 0
        Von OHMANN am Mo, 9. April 2018 um 09:20 #

        Was hat das mit dem Artikel zu tun und dem offensichtlichen Missverständnis meines Vorposters?
        Noch mal: Kernel Lockdown erzwingt in keinster Weise, das man Secure Boot haben muss.

        Warum genau Secure Boot Linux "überflüssig macht" weiß ich auch nicht.
        Ich bin jetzt auch kein großer Fan undokumentierter Firmware mit großen Rechten (UEFI), aber wenn ich ein wichtiges Rechenzentrum betreiben würde und NICHT auf Coreboot o.ä. umsteigen würde sondern UEFI laufen lasse, würde ich Secure Boot auch nutzen. Denn das Trusted Boot (das kann ja theoretisch auch über Smartcards laufen) die Sicherheit gegen Manipulationen erhöhen kann, ist doch wohl unbestritten.
        Und dann würde Kernel Lockdown auch Sinn machen - aber es sollte durch den Admin während der Installation aktiviert werden, keinesfalls automatisch!

        0
        Von Verfluchtnochmal am Mo, 9. April 2018 um 13:41 #

        Was für ein Unsinn - Ausserhalb deiner kleinen Welt laufen die meisten wichtigen Linux-Installationen in Rechenzentren als virtuelle Maschine und die werden in 100 Jahren noch BIOS/UEFI als wählbare Option anbieten, schon alleine um eben auch ältere Systeme zu virtualisieren und weil es wurscht ist vom Aufwand her

        • 0
          Von cyberpatrol am Do, 12. April 2018 um 14:13 #

          Was für ein Unsinn - Ausserhalb deiner kleinen Welt laufen die meisten wichtigen Linux-Installationen in Rechenzentren als virtuelle Maschine und die werden in 100 Jahren noch BIOS/UEFI als wählbare Option anbieten
          Und was liegt unter diesen tollen virtuellen Maschinen? Richtig! Eine reale, nicht virtuelle Maschine, auch Host genannt. Und was hat dieser Host? Richtig! UEFI und IME oder PSP.

          Dieser Beitrag wurde 1 mal editiert. Zuletzt am 12. Apr 2018 um 14:13.
Pro-Linux
Unterstützer werden
Neue Nachrichten
Werbung