¿Por qué me pidieron que creara una contraseña para deshabilitar el arranque seguro en la instalación inicial de Ubuntu 16.04?

30

En la instalación inicial de Ubuntu 16.04, marqué "Instalar software de terceros" y, debajo de él, se me solicitó que marcara otra opción que permitiría que el paquete del sistema operativo deshabilitara automáticamente el arranque seguro por sí solo, un requisito previo que era creando una contraseña que de alguna manera permitiría que ocurriera todo este proceso.

Después de continuar con la instalación, nunca recibí ninguna indicación de que se hubiera producido esta desactivación del arranque seguro, ni se me pidió que ingresara la contraseña que había creado.

Tras la instalación exitosa del sistema operativo, reinicié mi computadora y revisé el BIOS. En BIOS, el arranque seguro todavía estaba habilitado. Sin embargo, en Ubuntu, puedo reproducir archivos MP3 y Flash sin problemas, lo que supongo que indica que la instalación de software de terceros fue exitosa.

Todavía no me he encontrado con ningún problema (aparte del hecho de que la interfaz de usuario ha sido un poco delicada y con errores a veces), pero me gustaría saber qué demonios logré realmente al crear esa contraseña.

¿Qué pasó con la contraseña que creé? ¿Tendré que recordarlo por alguna razón? No es lo mismo que mi contraseña de inicio de sesión / sudo.

¿Ubuntu ha editado permanentemente mi BIOS para hacer una excepción por sí mismo? Si es así, ¿cómo puedo ver estos cambios y potencialmente deshacerlos? ¿Es ahí donde entraría la contraseña?

¿Por qué Ubuntu necesita deshabilitar / omitir el arranque seguro para instalar el paquete ubuntu-restricto-extras de todos modos? ¿Está bien mi instalación? ¿Me he preparado para futuros problemas? ¿Debo intentar reinstalar con el inicio seguro deshabilitado manualmente para no recibir ese aviso en primer lugar?

Información adicional: estoy ejecutando un sistema UEFI y estoy arrancando Ubuntu 16.04 junto con Windows 10.

Otro usuario ha hecho una pregunta sobre un problema similar aquí. A diferencia de este usuario, no recibo una advertencia sobre "arrancar en modo inseguro", pero también me gustaría saber si Ubuntu ha creado una excepción para sí mismo y cómo podría manejar tales excepciones. A diferencia de mí, este usuario no ha mencionado nada sobre tener que crear una contraseña.

Logré replicar el cuadro de diálogo. Aquí está.

Aquí hay información adicional.

dual-boot  uefi  password  secure-boot 
Cosmo
fuente
1
Ubuntu 16.04 ha realizado algunos cambios en su manejo del Arranque seguro que aún no he explorado por completo; Sin embargo, algo de lo que sé está en mi respuesta a esta pregunta. Me interesaría ver su salida al comando hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. El último dígito en la primera línea (0 o 1) indica su estado de arranque seguro (inactivo o activo).
Rod Smith
1
0000000 0006 0000 0001 0000005Parece que definitivamente está activo. Tenga en cuenta que lo he deshabilitado y lo he vuelto a habilitar un par de veces para ver si sucede algo, y nada sucedió. Una vez más, todo está funcionando bien hasta ahora, mi único temor es que algo salga mal en algún momento en el futuro. Después de leer cierta documentación, parece que la contraseña temporal está destinada a actuar como una especie de sustituto para un arranque seguro en lugar de que Ubuntu admita directamente la función en sí. Teniendo en cuenta que nunca me lo volvieron a pedir, mi mejor suposición es que la función está incompleta / con errores.
Cosmo
1
Solo un aviso, podría estar equivocado acerca de que la contraseña temporal sea un sustituto para un arranque seguro. Eso es todo lo que puedo entender sin información adicional, que no he podido encontrar. ¿Qué piensas?
Cosmo
1
Me temo que no tengo más pensamientos sobre este tema. Me llevará algo de tiempo y esfuerzo investigar estos cambios recientes.
Rod Smith,
1
El arranque seguro requiere una contraseña, no puede estar en blanco y necesita algún tipo de autenticación. Esta es la razón por la cual los administradores de red dejarán sistemas informáticos seguros sin contraseña para la cuenta de administrador, ya que no puede iniciar sesión de forma remota sin una contraseña.
Dorian

Respuestas:

7

UEFI Secure Boot protege su cargador de arranque de ser manipulado mediante el uso de una combinación de claves CA y firmas en los archivos de arranque. Microsoft, por ejemplo, ha firmado cargadores de arranque para los cuales las claves de CA ya están presentes en el firmware UEFI de la mayoría de las PC.

Esto solo protege el núcleo inicial del cargador y nada después. Por ejemplo, initrd (initramfs) no está protegido, ni nada después (GRUB, kernel, módulos, controladores, cualquier cosa en el espacio de usuario, etc.).

El software de terceros que instaló PUEDE haber incluido cierto código PCI o RAID de bajo nivel requerido para el cargador de arranque, por lo que debe crear una contraseña, que creará una clave en el espacio del firmware UEFI. Después de las modificaciones, si el sistema nota algo diferente en el momento del arranque, el BIOS se detendrá en POST y le pedirá la misma contraseña que ingresó durante la instalación para demostrar que usted es quien instaló el software. Este método asegura que un usuario sentado físicamente en la computadora está ingresando esta contraseña como confirmación ya que no se puede cargar ningún software en el momento de la POST del BIOS para falsificar esto.

Para la mayoría de los sistemas de usuario, el arranque seguro hace poco para protegerlo. No previene virus o malware, ni la instalación de esos. Todo lo que hace es evitar la manipulación del gestor de arranque de bajo nivel, que generalmente se evita mediante la seguridad básica del antivirus o del sistema operativo de todos modos. En mi opinión, y de acuerdo con la mayoría de la documentación, se puede desactivar de forma segura.

dorio
fuente
¡Parece que podría ser la respuesta que estoy buscando! Entonces, a pesar de crear una contraseña, ¿es posible que nunca me la pidan a menos que haga modificaciones en mi BIOS?
Cosmo
1
No exactamente. Es posible que se le solicite si instala algo que modifique el gestor de arranque, que es lo que el firmware UEFI comprueba en cada arranque y compara las firmas de esos archivos con las claves almacenadas en su base de datos.
Dorian
1
¿No quiere decir, "para la mayoría de los tipos de ataques , el arranque seguro hace poco para protegerlo?"
jpaugh
1
@jpaugh Podrías usar la palabra ataque, supongo. Sin embargo, la mayoría de las infecciones / virus / malware no se consideran un ataque directo, ya que generalmente estas cosas solo se establecen en la naturaleza para infectar y propagarse a todos, y a nadie en particular. Pero sí, alguien que obtenga acceso a su sistema de forma remota e intente meterse con su arranque se consideraría un ataque.
Dorian
1
Los comandos de @Cosmo grub no deberían activarse ya que esto se ejecuta en la memoria después de que grub ya se haya cargado. Pero tal vez el comando que está ejecutando está tratando de ejecutar un módulo que no se ejecutó antes, que está activando las alarmas UEFI ... ¿Se le está solicitando una contraseña de su BIOS? Si deshabilita el arranque seguro en el BIOS, ¿se ejecuta sin aviso?
Dorian
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.