Ходячий генератор энтропии

Современные EFI/BIOS в последнее время порой идут с неотключаемым SecureBoot или же порой очень сложно найти, где оно отключается. Зачем он нужен и какую пользу приносит, об этом как-нибудь в другой раз. Слишком обширная тема.

Сейчас мы разберём, как подписывать сторонние модули ядра, не входящие в основную поставку, чтобы они работали с SecureBoot. для примера возьмём VirtualBox, модули которого, обычно идут в виде исходников и собираются с помощью DKMS.

Я использую Fedora 34, но это работает в любом современном дистрибутиве.

Для начала нам понадобится mokutil.

sudo dnf update
sudo dnf install mokutil

Затем создаём новый каталог и генерим пару RSA:

sudo -i
mkdir /root/signed-modules
cd /root/signed-modules
openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=VirtualBox/"
chmod 600 MOK.priv

После чего необходимо добавить пароль. Этот пароль нам потребуется при следующей перезагрузке.

sudo mokutil --import MOK.der

Затем перезагружаемся и на появившемся синем экране выбираем: Enroll MOK --> Continue --> вбиваем пароль из предыдущего шага

Теперь уже создаём скриптик, которым мы будем подписывать модули ядра:

cd /root/signed-modules
vim sign-virtual-box

И сам скрипт, собственно:

#!/bin/bash

for modfile in $(dirname $(modinfo -n vboxdrv))/*.ko; do
  echo "Signing $modfile"
  /usr/src/kernels/$(uname -r)/scripts/sign-file sha256 \
                                /root/signed-modules/MOK.priv \
                                /root/signed-modules/MOK.der "$modfile"
done

На всякий случай можете проверить расположение signfile и если что, подправить пути в скрипте выше:

find /usr/src -name signfile

И далее:

chmod 700 sign-virtual-box
./sign-virtual-box

И пересобираем модуль:

modprobe vboxdrv

В дальнейшем скрипт НЕ УДАЛЯЕМ, как и сгенерированные ключи. Они нам потребуется при каждом обновлении ядра. А вот mokutil будет уже не обязателен.

Думаю ни для кого не новость, что сертификаты от R3 которым подписаны цепочки от тех же Let's Encrypt протухли ещё 30 сентября. Но те, кто выписывают сертификаты с помощью certbot, обнаружили, что сертификат обновляется, но по-прежнему подсовывается старая цепочка доверия.

Чтобы заставить certbot выдавать сертификаты используя цепочку ISRG X1, надо скормить оному команду certbot renew --preferred-chain "ISRG Root X1". Затем просто перезапустить сервер. В дальнейшем будет сгенерирован конфиг для сертификата, где по умолчанию будет прописано необходимая предпочтительная цепочка доверия.

VPN клиент от Cisco, конечно, та ещё притча по языцех. Компания, специализирующаяся на сетевых решениях всё ещё не умеет в клиенты для сетевых, собственно, решений. Даже в Linux с помощью Network Manager это реализовано намного более прямо.

В этот раз обнаружил очередное прекрасное. При установке клиента приезжает до кучи Cisco AnyConnect Socket Filter. Всё бы ничего, он и раньше был, но под OS 11 BigSur с ним всплыла проблема. Socket Filter появляется в Network Preferences. И именно под BigSur он наглухо фильтрует доступ к куче всего, по одному ему известному способу. У меня стало медленно работать вообще всё, что связано с сетью. Браузеры, утилиты вроде ping, вообще всё. В итоге просто грохнул в сетях всё связанное с Socker Filter и позапрещал доступ к Kernel Extension который пытается врубиться при доступе к сети. Внезапно всё заработало так же шустро как раньше. В итоге вопрос — ну нахера так, а?

Попалась на глаза проблема в сабже. В гуях вкладка "DNS" в свойствах VPN-подключение игнорируется, описание домена, который нужно резолвить, и его DNS-сервера в /etc/resolvers/ тоже игнорируется. Проверено на High Sierra, Mojave, Catalina.

По Интернету гуляет инструкция вроде этой, но как выяснилось — неверная. Решение нашёл уважаемый коллега Антон Марков из одного околоадминского чата. Так что передаю слово ему.

Итак, решение:

- создаём директорию /etc/resolver (не /etc/resolvers, как пишет индус!)
- создаём там файлы с именами доменов, которые нужно ресолвить, к примеру, contoso.com
- в файлы пишем как минимум строки вида
nameserver 10.0.0.253
nameserver 10.0.0.252

Индус утверждает, что имена файлов не имеют значения, а внутри принимаются также параметры вида:
domain contoso.com
search_order 1
timeout 5

Я не проверял эти параметры, но как минимум в принятии параметра domain я что-то уже сомневаюсь.

Работа описанного метода проверена на Mojave и Catalina. В недрах инета я встречалось упоминание, что это игнорируется как минимум Mountain Lion.

Для тех кому надо сохранить ЖЖ имеючи под боком Linux/FreeBSD:

Берём ljsm с этого сайта за версией 2.9 (более ранние версии не работают из-за изменившегося механизма аутентифиткации в LJ).

Далее ставим dev-lang/perl, а кроме этого dev-perl/Unicode-MapUTF8, dev-perl/Unicode-Map, dev-perl/libwww-perl и все их зависимости. В противном случае, скрипт будет валиться со всевозможными ошибками.

Ну а далее делаем по мануалу:
perl /home/ваша_домашняя_директория/ljsm.pl -u user:password test1 test2

Где user - ваш логин, password - ваш пароль. Test1 и test2 соответственно, пользователи которых вы хотите сохранить. Более подробно можно посмтотреть либо на сайте, либо в хелпе который вываливается при запуске скрипта без параметров.

Особо одарённые могут залезть в сам скрипт и прописать необходимые параметры там, чтобы каждый раз не вводить необходимые для сохранения ключи.

Post Scriptum:
Я знаю, что это примитивно, но некоторые виндузятники убунтойды не умеют и посему натыкаются на грабли.

В наличии появился сабж, в количестве аж 3х DVD. Таки будем смотреть, да.

Так, у кого стоит у миранда и не доходят мои мсессаги, просьба построиться в шеренгу и слить новый ICQ.dll отсюда.

Если кто-то юзает в миранде ISee, то взять патченный можно тут.