Lesen und insbesondere Verstehen von Artikeln ist nicht so Dein Ding, oder?
Kleiner Tipp: Kernel-Lockdown wie hier diskutiert bedeutet NICHT, das man ein System mit Secure Boot benötigt, um Linux zu starten. Es bedeutet, WENN man ein System mit Secure Boot hat und Kernel Lockdown in den Linux-Kernel aufgenommen wird, dann ... (hier bitte die richtige Antwort einsetzen, nachdem Du den Artikel noch mal gelesen und hoffentlich verstanden hast)
Wenn nur noch Rechnersysteme und Mainboards mit Secure Boot zwingend angeboten und verkauft werden und Kernel Lockdown in den Linux-Kernel aufgenommen wird, dann ... ist GNU/Linux endgültig überflüssig geworden.
Angesichts von IME und PSP ist es das im Grunde schon heute, zumindest auf Rechnern, die jünger sind als etwa 5 (AMD) bis 10 (Intel) Jahre. Der GNU/Linux-Nutzer besitzt auf solchen Systemen keinerlei Kontrolle mehr über die eigene Rechner-Hardware.
Imsofern ist diese Secure Boot-/Kernel Lockdown-Combo der letzte Sargnagel für Linux-Betriebssysteme, den es braucht, um auch diese Systeme völlig unter Fremdkontrolle stellen zu können.
Secure Boot, UEFI BIOS und IME/PSP zusammen haben freie Betriebssysteme endgültig ad absurdum geführt.
Es ist ja so schön, wenn man mit einem vom Hardware-Hersteller vorgegebenen Nutzer-Rechte-Set noch sein Linux bedienen darf, auch wenn die zugrundeliegende Firmware samt eingebauten Netzwerk- und Serverfunktionen ansonsten macht, was Andere wollen und der Linuxkernel auf diese Vorgänge keinerlei Zugriff mehr hat.
Jetzt fehlt eigentlich nur noch eine internationale Vereinbarung, die Secure Boot verbindlich für alle Rechnersysteme vorschreibt, die aufs Internet allgemein oder bestimmte Dienste wie Elster, PayPal oder Online-Banking zugreifen möchten.
Was hat das mit dem Artikel zu tun und dem offensichtlichen Missverständnis meines Vorposters? Noch mal: Kernel Lockdown erzwingt in keinster Weise, das man Secure Boot haben muss.
Warum genau Secure Boot Linux "überflüssig macht" weiß ich auch nicht. Ich bin jetzt auch kein großer Fan undokumentierter Firmware mit großen Rechten (UEFI), aber wenn ich ein wichtiges Rechenzentrum betreiben würde und NICHT auf Coreboot o.ä. umsteigen würde sondern UEFI laufen lasse, würde ich Secure Boot auch nutzen. Denn das Trusted Boot (das kann ja theoretisch auch über Smartcards laufen) die Sicherheit gegen Manipulationen erhöhen kann, ist doch wohl unbestritten. Und dann würde Kernel Lockdown auch Sinn machen - aber es sollte durch den Admin während der Installation aktiviert werden, keinesfalls automatisch!
Von Verfluchtnochmal am Mo, 9. April 2018 um 13:41 #
Was für ein Unsinn - Ausserhalb deiner kleinen Welt laufen die meisten wichtigen Linux-Installationen in Rechenzentren als virtuelle Maschine und die werden in 100 Jahren noch BIOS/UEFI als wählbare Option anbieten, schon alleine um eben auch ältere Systeme zu virtualisieren und weil es wurscht ist vom Aufwand her
Was für ein Unsinn - Ausserhalb deiner kleinen Welt laufen die meisten wichtigen Linux-Installationen in Rechenzentren als virtuelle Maschine und die werden in 100 Jahren noch BIOS/UEFI als wählbare Option anbieten
Und was liegt unter diesen tollen virtuellen Maschinen? Richtig! Eine reale, nicht virtuelle Maschine, auch Host genannt. Und was hat dieser Host? Richtig! UEFI und IME oder PSP.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 12. Apr 2018 um 14:13.
Lesen und insbesondere Verstehen von Artikeln ist nicht so Dein Ding, oder?
Kleiner Tipp: Kernel-Lockdown wie hier diskutiert bedeutet NICHT, das man ein System mit Secure Boot benötigt, um Linux zu starten.
Es bedeutet, WENN man ein System mit Secure Boot hat und Kernel Lockdown in den Linux-Kernel aufgenommen wird, dann ... (hier bitte die richtige Antwort einsetzen, nachdem Du den Artikel noch mal gelesen und hoffentlich verstanden hast)
Das kann auch in Kürze Folgendes bedeuten:
Wenn nur noch Rechnersysteme und Mainboards mit Secure Boot zwingend angeboten und verkauft werden und Kernel Lockdown in den Linux-Kernel aufgenommen wird, dann ... ist GNU/Linux endgültig überflüssig geworden.
Angesichts von IME und PSP ist es das im Grunde schon heute, zumindest auf Rechnern, die jünger sind als etwa 5 (AMD) bis 10 (Intel) Jahre. Der GNU/Linux-Nutzer besitzt auf solchen Systemen keinerlei Kontrolle mehr über die eigene Rechner-Hardware.
Imsofern ist diese Secure Boot-/Kernel Lockdown-Combo der letzte Sargnagel für Linux-Betriebssysteme, den es braucht, um auch diese Systeme völlig unter Fremdkontrolle stellen zu können.
Secure Boot, UEFI BIOS und IME/PSP zusammen haben freie Betriebssysteme endgültig ad absurdum geführt.
Es ist ja so schön, wenn man mit einem vom Hardware-Hersteller vorgegebenen Nutzer-Rechte-Set noch sein Linux bedienen darf, auch wenn die zugrundeliegende Firmware samt eingebauten Netzwerk- und Serverfunktionen ansonsten macht, was Andere wollen und der Linuxkernel auf diese Vorgänge keinerlei Zugriff mehr hat.
Jetzt fehlt eigentlich nur noch eine internationale Vereinbarung, die Secure Boot verbindlich für alle Rechnersysteme vorschreibt, die aufs Internet allgemein oder bestimmte Dienste wie Elster, PayPal oder Online-Banking zugreifen möchten.
Was hat das mit dem Artikel zu tun und dem offensichtlichen Missverständnis meines Vorposters?
Noch mal: Kernel Lockdown erzwingt in keinster Weise, das man Secure Boot haben muss.
Warum genau Secure Boot Linux "überflüssig macht" weiß ich auch nicht.
Ich bin jetzt auch kein großer Fan undokumentierter Firmware mit großen Rechten (UEFI), aber wenn ich ein wichtiges Rechenzentrum betreiben würde und NICHT auf Coreboot o.ä. umsteigen würde sondern UEFI laufen lasse, würde ich Secure Boot auch nutzen. Denn das Trusted Boot (das kann ja theoretisch auch über Smartcards laufen) die Sicherheit gegen Manipulationen erhöhen kann, ist doch wohl unbestritten.
Und dann würde Kernel Lockdown auch Sinn machen - aber es sollte durch den Admin während der Installation aktiviert werden, keinesfalls automatisch!
Was für ein Unsinn - Ausserhalb deiner kleinen Welt laufen die meisten wichtigen Linux-Installationen in Rechenzentren als virtuelle Maschine und die werden in 100 Jahren noch BIOS/UEFI als wählbare Option anbieten, schon alleine um eben auch ältere Systeme zu virtualisieren und weil es wurscht ist vom Aufwand her