Pourquoi m'a-t-on demandé de créer un mot de passe afin de désactiver le démarrage sécurisé lors de l'installation initiale d'Ubuntu 16.04?

30

Lors de l'installation initiale d'Ubuntu 16.04, j'ai coché «Installer un logiciel tiers» et, en dessous, j'ai été invité à cocher une autre option qui permettrait au package du système d'exploitation de désactiver automatiquement le démarrage sécurisé, une condition préalable qui était créer un mot de passe qui permettrait en quelque sorte à l'ensemble de ce processus de se produire.

Après avoir poursuivi l'installation, je n'ai jamais eu d'indication que cette désactivation du démarrage sécurisé s'était produite, et je n'ai jamais été invité à entrer le mot de passe que j'avais créé.

Une fois l'installation du système d'exploitation réussie, j'ai redémarré mon ordinateur et vérifié le BIOS. Dans le BIOS, le démarrage sécurisé était toujours activé. Cependant, de retour dans Ubuntu, je suis capable de lire de manière transparente des fichiers MP3 et Flash, ce qui, je suppose, indique que l'installation de logiciels tiers a réussi.

Je n'ai pas rencontré de problème pour l'instant (à part le fait que l'interface utilisateur a été un peu capricieuse et buggée parfois), mais j'aimerais savoir ce que j'ai accompli sur Terre en créant ce mot de passe.

Qu'est-il arrivé au mot de passe que j'ai créé? Dois-je m'en souvenir pour une raison quelconque? Ce n'est pas la même chose que mon mot de passe de connexion / sudo.

Ubuntu a-t-il définitivement modifié mon BIOS afin de se faire une exception? Si oui, comment puis-je voir ces modifications et éventuellement les annuler? Est-ce là que le mot de passe entrerait?

Pourquoi Ubuntu doit-il désactiver / contourner le démarrage sécurisé pour installer le paquet ubuntu-restricted-extras de toute façon? Mon installation est-elle correcte? Me suis-je préparé pour de futurs problèmes? Dois-je essayer de réinstaller avec un démarrage sécurisé désactivé manuellement pour ne pas recevoir cette invite en premier lieu?

Informations supplémentaires: j'exécute un système UEFI et j'utilise Ubuntu 16.04 à double démarrage avec Windows 10.

Un autre utilisateur a posé une question sur un problème similaire ici. Contrairement à cet utilisateur, je ne reçois pas d'avertissement concernant le «démarrage en mode non sécurisé», mais je voudrais également savoir si Ubuntu a créé une exception pour lui-même et comment je pourrais gérer ces exceptions. Contrairement à moi, cet utilisateur n'a rien mentionné sur la nécessité de créer un mot de passe.

J'ai réussi à reproduire la boîte de dialogue.  C'est ici.

Voici quelques informations supplémentaires.

Cosmo
la source
1
Ubuntu 16.04 a apporté quelques modifications à sa gestion du démarrage sécurisé que je n'ai pas encore entièrement explorées moi-même; cependant, une partie de ce que je sais se trouve dans ma réponse à cette question. Je serais intéressé de voir votre sortie à la commande hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. Le dernier chiffre de la première ligne (0 ou 1) indique votre état de démarrage sécurisé (inactif ou actif).
Rod Smith
1
0000000 0006 0000 0001 0000005On dirait que c'est définitivement actif. Notez que je l'ai désactivé et réactivé plusieurs fois pour voir si quelque chose allait se passer, et rien ne s'est passé. Encore une fois, tout va bien jusqu'à présent, ma seule crainte est que quelque chose se passe mal à l'avenir. Après avoir lu de la documentation, il semble que le mot de passe temporaire est censé agir comme une sorte de substitut pour un démarrage sécurisé plutôt qu'Ubuntu prenant directement en charge la fonctionnalité elle-même. Étant donné qu'on ne me l'a jamais demandé à nouveau, ma meilleure supposition est que la fonctionnalité est incomplète / buggée.
Cosmo
1
Juste un avertissement, je peux me tromper sur le fait que le mot de passe temporaire est un substitut pour un démarrage sécurisé. C'est tout ce que je peux comprendre comme étant sans informations supplémentaires, que je n'ai pas pu trouver. Qu'est-ce que tu penses?
Cosmo
1
Je crains de ne pas avoir d'autres réflexions sur cette question. Il me faudra du temps et des efforts pour enquêter sur ces récents changements.
Rod Smith
1
Le démarrage sécurisé nécessite un mot de passe, il ne peut pas être vierge et nécessite une sorte d'authentification. C'est pourquoi les administrateurs réseau laisseront les systèmes informatiques sécurisés sans mot de passe pour le compte administrateur, car vous ne pouvez pas vous connecter à distance sans mot de passe.
Dorian

Réponses:

7

UEFI Secure Boot protège votre chargeur de démarrage contre toute altération en utilisant une combinaison de clés CA et de signatures dans les fichiers de démarrage. Microsoft, par exemple, a signé des chargeurs de démarrage pour lesquels des clés CA sont déjà présentes dans le firmware UEFI de la plupart des PC.

Cela ne protège que le noyau très précoce du chargeur et rien par la suite. Par exemple, initrd (initramfs) n'est pas protégé, ou quoi que ce soit après (GRUB, noyau, modules, pilotes, quoi que ce soit dans l'espace utilisateur, etc.).

Les logiciels tiers que vous avez installés PEUVENT inclure certains codes PCI ou RAID de bas niveau requis pour le chargeur de démarrage, c'est pourquoi vous devez créer un mot de passe, qui créera une clé dans l'espace du firmware UEFI. Après les modifications, si le système remarque quelque chose de différent au démarrage, le BIOS s'arrêtera au POST et demandera le même mot de passe que vous avez entré lors de l'installation pour prouver que vous êtes celui qui a installé le logiciel. Cette méthode garantit qu'un utilisateur assis physiquement devant l'ordinateur entre ce mot de passe comme confirmation car aucun logiciel ne peut être chargé au moment du BIOS POST pour simuler cela.

Pour la plupart des systèmes utilisateur, le démarrage sécurisé ne vous protège guère. Il n'empêche pas les virus ou les logiciels malveillants, ni leur installation. Tout ce qu'il fait, il empêche la falsification du chargeur de démarrage de bas niveau, qui est généralement empêchée par la sécurité antivirus ou du système d'exploitation de base. À mon avis, et selon la plupart des documents disponibles, il peut être désactivé en toute sécurité.

Dorian
la source
Cela ressemble à ce pourrait être la réponse que je cherche! Donc, malgré la création d'un mot de passe, je ne pourrai jamais me le demander à moins que j'apporte des modifications à mon BIOS?
Cosmo
1
Pas assez. Il peut vous être demandé si vous installez quelque chose qui modifie le chargeur de démarrage, ce que le microprogramme UEFI vérifie à chaque démarrage et compare les signatures de ces fichiers aux clés stockées dans sa base de données.
Dorian
1
Ne voulez-vous pas dire que «pour la plupart des types d' attaques , le démarrage sécurisé fait peu pour vous protéger?
jpaugh
1
@jpaugh Vous pourriez utiliser le mot attaque, je suppose. Cependant, la plupart des infections / virus / programmes malveillants ne sont pas considérés comme une attaque directe, car ces éléments sont généralement simplement définis dans la nature pour infecter et se propager à tout le monde, et à personne en particulier. Mais oui, quelqu'un accédant à distance à votre système et essayant de jouer avec votre démarrage serait considéré comme une attaque.
Dorian
1
Les commandes @Cosmo grub ne devraient pas le désactiver car cela s'exécute en mémoire une fois que grub a déjà été chargé. Mais peut-être que la commande que vous exécutez essaie d'exécuter un module qui ne fonctionnait pas auparavant, ce qui déclenche les alarmes UEFI ... Êtes-vous simplement invité à entrer un mot de passe à partir de votre BIOS? Si vous désactivez le démarrage sécurisé dans le BIOS, s'exécute-t-il sans invite?
Dorian