subject:"nvidia"

2023-02-02 Пенетрантность Eugene Berdnikov

В Fri, 3 Feb 2023 10:46:50 +0300
Eugene Berdnikov  пишет:


> > Это, кстати, многие не понимают. Что всегда надо рассматривать две
> > угрозы 
> > 1. Что ваши данные попадут не в те руки
> > 2. Что ваши руки не дотянутся до ваших данных в тот момент, когда
> > вам эти данные будут нужны.
> > 
> > Предложенный тобой способ защищает от второй угрозы. А пользователи
> > всяких FDE надеются, что применение этих средств защитит их от
> > первой  
> 
>  В слове FDE буква E как раз защищает, а вот FD, как верно было
> замечено, скорее бесит нападающих и толкает их на применение
> радикальных средств... Всё ценное должно быть зашифровано, включая
> бэкап, но шифровать всё подряд это глупость, IMHO.

А при таком подходе приходится головой думать, что ценное, а что не
ценное. Что нужно защищать от несанкционированного прочтения, а что -
только от несанкционированного изменения (что лучше делать не
шифрованием, а подписью с её своевременной проверкой)

-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

On Fri, Feb 03, 2023 at 09:07:59AM +0300, Victor Wagner wrote:
> В Thu, 2 Feb 2023 20:35:05 +0300
> Eugene Berdnikov  пишет:
> >  К слову, лучшее средство от ордера на обыск -- бэкап, тщательно
> > спрятанный вне дома, плюс запасной комплект вычислительной техники к
> > нему, плюс заначка для того, чтобы сразу после обыска докупить ещё
> > один запасной комплект.
> 
> Это, кстати, многие не понимают. Что всегда надо рассматривать две
> угрозы 
> 1. Что ваши данные попадут не в те руки
> 2. Что ваши руки не дотянутся до ваших данных в тот момент, когда вам
> эти данные будут нужны.
> 
> Предложенный тобой способ защищает от второй угрозы. А пользователи
> всяких FDE надеются, что применение этих средств защитит их от первой

 В слове FDE буква E как раз защищает, а вот FD, как верно было замечено,
 скорее бесит нападающих и толкает их на применение радикальных средств...
 Всё ценное должно быть зашифровано, включая бэкап, но шифровать всё
 подряд это глупость, IMHO.
-- 
 Eugene Berdnikov

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-02 Пенетрантность Eugene Berdnikov

В Thu, 2 Feb 2023 20:35:05 +0300
Eugene Berdnikov  пишет:

> On Thu, Feb 02, 2023 at 06:40:40PM +0300, Victor Wagner wrote:
> > Поскольку в мою модель угроз входит появление в доме вежливого
> > офицера ФСБ с ордером на обыск или встреча с не менее вежливым
> > таможенником при пересечении границы, меры, рассчитанные на
> > противодействие этим угрозам, спасают и от излишне любопытного
> > нашедшего ноутбук.  
> 
>  Второй раз читаю тут про таможенника, и ума не приложу, какое может
> быть дело таможне до содержимого диска... Биты и байты вроде никакими

Таможенник - он человек государственный. А государству до всего есть
дело. Со мной уже был случай когда магнитные носители которые я вез с
собой в командировку в Австрию, проверяли. И был случай, когда ничего
не проверяя, просто не пропустили. Пришлось сдавать в камеру хранения в
Шереметьево.

> пошлинами не облагаются, а у таможенника нет ни времени, ни средств
> изучать их: другие пассажиры в очереди нервничают и матерятся.

Ну понятно, что если человека задерживают по подозрению что он вывозит
из страны секрентную информацию его из очереди отводят в такую
неприметную комнатку поблизости.

>  К слову, лучшее средство от ордера на обыск -- бэкап, тщательно
> спрятанный вне дома, плюс запасной комплект вычислительной техники к
> нему, плюс заначка для того, чтобы сразу после обыска докупить ещё
> один запасной комплект.

Это, кстати, многие не понимают. Что всегда надо рассматривать две
угрозы 
1. Что ваши данные попадут не в те руки
2. Что ваши руки не дотянутся до ваших данных в тот момент, когда вам
эти данные будут нужны.

Предложенный тобой способ защищает от второй угрозы. А пользователи
всяких FDE надеются, что применение этих средств защитит их от первой

Кстати, лежащий вне дома бэкап помогает не только от обыска, но и от
пожара, домовой кражи и даже от криптолокера (впрочем от криптолокера
помогает и бэкап лежащий в ящике стола, на котором стоит компьютер)

-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-02 Пенетрантность liuch

Я же не зря написал "чтобы мне не пришлось судорожно не вспоминать". Вы 
же повседневку не прячете во вложенные контейнеры, скрытые разделы и так 
далее. У меня на ноуте могут быть личные фото, заметки, исходники, и 
т.п., которыми я не желаю делиться с посторонними но и разделять эти 
данные с "неопасными" нет причин. В общем, разные цели, разные походы.


02.02.2023 18:40, Victor Wagner пишет:

Поскольку в мою модель угроз входит появление в доме вежливого офицера
ФСБ с ордером на обыск или встреча с не менее вежливым таможенником при
пересечении границы, меры, рассчитанные на противодействие этим
угрозам, спасают и от излишне любопытного нашедшего ноутбук.

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

On Thu, Feb 02, 2023 at 06:40:40PM +0300, Victor Wagner wrote:
> Поскольку в мою модель угроз входит появление в доме вежливого офицера
> ФСБ с ордером на обыск или встреча с не менее вежливым таможенником при
> пересечении границы, меры, рассчитанные на противодействие этим
> угрозам, спасают и от излишне любопытного нашедшего ноутбук.

 Второй раз читаю тут про таможенника, и ума не приложу, какое может быть
 дело таможне до содержимого диска... Биты и байты вроде никакими пошлинами
 не облагаются, а у таможенника нет ни времени, ни средств изучать их:
 другие пассажиры в очереди нервничают и матерятся.

 К слову, лучшее средство от ордера на обыск -- бэкап, тщательно спрятанный
 вне дома, плюс запасной комплект вычислительной техники к нему, плюс заначка
 для того, чтобы сразу после обыска докупить ещё один запасной комплект.
-- 
 Eugene Berdnikov

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

В Thu, 2 Feb 2023 17:01:12 +0300
li...@mail.ru пишет:

> 02.02.2023 16:45, Victor Wagner пишет:
> > О, наконец мне кто-то объяснил зачем  может быть нужна на ноутбуке
> > full disk encryption - она защищает от подмены user-space
> > бинарников, которые не защищает secureboot.  
> Не только. FDE еще полезно в случае потери или гражи ноутбука, чтобы
> мне не пришлось судорожно не вспоминать, какие именно фотографии я на
> нем хранил и нет ли там чего-то такого, что сделало бы мою жизнь чуть
> более сложной в случае, если новый хозяин ноутбука будет достаточно
> любопытен, чтобы покопаться в моих файлах. В случае FDE ему останется
> только переформатировать диски.
> 
Поскольку в мою модель угроз входит появление в доме вежливого офицера
ФСБ с ордером на обыск или встреча с не менее вежливым таможенником при
пересечении границы, меры, рассчитанные на противодействие этим
угрозам, спасают и от излишне любопытного нашедшего ноутбук.




-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-02 Пенетрантность liuch


02.02.2023 16:45, Victor Wagner пишет:

О, наконец мне кто-то объяснил зачем  может быть нужна на ноутбуке full
disk encryption - она защищает от подмены user-space бинарников,
которые не защищает secureboot.
Не только. FDE еще полезно в случае потери или гражи ноутбука, чтобы мне 
не пришлось судорожно не вспоминать, какие именно фотографии я на нем 
хранил и нет ли там чего-то такого, что сделало бы мою жизнь чуть более 
сложной в случае, если новый хозяин ноутбука будет достаточно любопытен, 
чтобы покопаться в моих файлах. В случае FDE ему останется только 
переформатировать диски.

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-02 Пенетрантность Alexander Gerasiov

В Thu, 2 Feb 2023 15:57:32 +0200
Alexander Gerasiov  пишет:


> 
> > Так-то я всегда полагал что FDE это вещь скорее вредная, чем
> > полезная, потому что является ярким сигналом "здесь есть что-то
> > ценное". И провоцирует нашего противника на применение
> > терморектального (или, в случае толетантных демократических стран
> > rubber hose) крипоанализа.  
> Для грубой силы - вредная. Для угрозы "любопытный нос полез в
> утерянный ноутбук" - всё же полезная.

Мне как-то с трудом верится в любопытный нос, который в состоянии
хакнуть пароль на grub или на bios  (чтобы загрузиться с другого
носителя). 
Когда заходит речь о таком уровне атакующего, это уже
несколько намекает на таржетированную атаку.



-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

On Thu, 2 Feb 2023 16:45:33 +0300
Victor Wagner  wrote:

> В Wed, 1 Feb 2023 21:46:59 +0200
> Alexander Gerasiov  пишет:
> 
> > On Wed, 1 Feb 2023 18:12:59 +0300
> > Victor Wagner  wrote:
> >   
> > > В Wed, 1 Feb 2023 16:42:47 +0200
> > > Alexander Gerasiov  пишет:
> > > 
> > > 
> > > > Пароль можно добавить, но в моей модели угроз он не нужен. Для
> > > > меня secureboot это гарантия, что на моем хосте нельзя забутить
> > > > другую ОС и/или подменить ядро/загрузчик получив физический
> > > > доступ к ноутбуку.  
> 
> > 
> > В случае физического доступа получить доступ к данным не получится
> > (так как они зашифрованы), но можно залить модифицированный
> > загрузчик/ядро/инитрамфс, так как что-то из этого должно
> > лежать на диске не зашифрованное.  
> 
> О, наконец мне кто-то объяснил зачем  может быть нужна на ноутбуке
> full disk encryption - она защищает от подмены user-space бинарников,
> которые не защищает secureboot.
Да, и это, конечно же тоже.

> Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная,
> потому что является ярким сигналом "здесь есть что-то ценное". И
> провоцирует нашего противника на применение терморектального (или, в
> случае толетантных демократических стран rubber hose) крипоанализа.
Для грубой силы - вредная. Для угрозы "любопытный нос полез в утерянный
ноутбук" - всё же полезная.


-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: a...@gerasiov.net  WWW: https://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-02 Пенетрантность Alexander Gerasiov

В Wed, 1 Feb 2023 21:46:59 +0200
Alexander Gerasiov  пишет:

> On Wed, 1 Feb 2023 18:12:59 +0300
> Victor Wagner  wrote:
> 
> > В Wed, 1 Feb 2023 16:42:47 +0200
> > Alexander Gerasiov  пишет:
> > 
> >   
> > > Пароль можно добавить, но в моей модели угроз он не нужен. Для
> > > меня secureboot это гарантия, что на моем хосте нельзя забутить
> > > другую ОС и/или подменить ядро/загрузчик получив физический
> > > доступ к ноутбуку.

> 
> В случае физического доступа получить доступ к данным не получится
> (так как они зашифрованы), но можно залить модифицированный
> загрузчик/ядро/инитрамфс, так как что-то из этого должно
> лежать на диске не зашифрованное.

О, наконец мне кто-то объяснил зачем  может быть нужна на ноутбуке full
disk encryption - она защищает от подмены user-space бинарников,
которые не защищает secureboot.

Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная,
потому что является ярким сигналом "здесь есть что-то ценное". И
провоцирует нашего противника на применение терморектального (или, в
случае толетантных демократических стран rubber hose) крипоанализа.

Гораздо лучше было бы, если бы для того чтобы браузить интернет,
вводить пассфразу для расшифровки тех данных, которые мы хотим скрыть
от всего мира, не требовалось бы. Мы тут котиков смотрим. а данные себе
лежат зашифрованные. И даже таможенник на границе, решивший проверить
компьютер, их, скорее всего просто не найдет.

Но вот для того, чтобы избежать подмены /usr/bin/ls или /bin/echo, увы,
необходима либо сквозная система подписи исполняемых файлов с цепочкой
доверия от BIOS до последнего скрипта, либо таки да, FDE.

-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

On Wed, 1 Feb 2023 16:13:49 -0500
Tim Sattarov  wrote:

> On 2/1/23 14:46, Alexander Gerasiov wrote:
> > От подмены этих файлов защищает secureboot с кастомными ключами.   
> 
> А можно поподробнее про этот момент как кастомные ключи в этом случае
> работают? ты грузишь свои собственные ключи в  BIOS и указываешь
> степень доверия? Если да, то я думаю этот момент даёт достаточно
> хорошую защиту, если не доводить до гаечных ключей, и прочих горячих
> предметов.
Да, всё так. Делаю это использую sicherboot - он хорошо автоматизирует
это.


-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: a...@gerasiov.net  WWW: https://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-01 Пенетрантность Alexander Gerasiov


On 2/1/23 14:46, Alexander Gerasiov wrote:
От подмены этих файлов защищает secureboot с кастомными ключами. 


А можно поподробнее про этот момент как кастомные ключи в этом случае работают?
ты грузишь свои собственные ключи в  BIOS и указываешь степень доверия?
Если да, то я думаю этот момент даёт достаточно хорошую защиту, если не доводить до гаечных ключей, 
и прочих горячих предметов.

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

On Wed, 1 Feb 2023 18:12:59 +0300
Victor Wagner  wrote:

> В Wed, 1 Feb 2023 16:42:47 +0200
> Alexander Gerasiov  пишет:
> 
> 
> > Пароль можно добавить, но в моей модели угроз он не нужен. Для меня
> > secureboot это гарантия, что на моем хосте нельзя забутить другую ОС
> > и/или подменить ядро/загрузчик получив физический доступ к
> > ноутбуку.  
> 
> А можно подробнее про эту модель угроз? 
> 
> Что мы защищаем - данные на диске ноутбука или сам ноутбук как набор
> вычислительных ресурсов? 
> 
> Каким временем располагает атакующий, получивший физический доступ к
> ноутбуку, и какие средства обнаружения такого доступа предусмотрены? 

Сейчас речь не совсем про то, что у меня (security through obscurity на
самом деле очень важная и нужная вещь), но некоторые рассуждения,
которыми я руководствовался:
- данные на ноутбуке являются чувствительными
- на случай утери ноутбука данные должны быть зашифрованы
- предположим есть "добрый" злоумышленник, желающий получить доступ к
данным на ноутбуке (про злого с паяльником отдельный тред), тогда у
него есть два основных вектора атаки:

1. взлом работающего ноутбука по сети и т.п. тут цифровая гигиена,
всякие файрволы, контейнеры и прочее, о чем сейчас не говорим.
2. физический доступ к ноутбуку. (от 5 минут в кафе пописать, до пары
часов в офисе пообедать, варианты бывают разные)

В случае физического доступа получить доступ к данным не получится
(так как они зашифрованы), но можно залить модифицированный
загрузчик/ядро/инитрамфс, так как что-то из этого должно
лежать на диске не зашифрованное.

От подмены этих файлов защищает secureboot с кастомными ключами.

Следующий шаг - сбросить биос, подменить материнку или ноутбук целиком.
Это все не является нереализуемым, но усложняет атаку. Плюс есть
разумные способы это усложнить (enterprise ноутбуки, которые не
сбрасываются просто так, tamper detection, наклейки с героями аниме,
уникальная гравировка, памятная царапина в форме любимой буквы
армянского алфавита и т.п.). Где-то в этом месте здравый смысл должен
сказать, что гаечный ключ будет дешевле и можно успокоиться.

-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: a...@gerasiov.net  WWW: https://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

В Wed, 1 Feb 2023 14:11:17 -0500
Tim Sattarov  пишет:

.
> Чем сложнее получить доступ к данным, тем безопаснее.

Совершенно не факт, что защищать надо именно данные. Сейчас на
большинстве компьютеров достойных защиты данных нет. Есть только
выкачанная из сети информация, которую воровать нет смысла. Можно
честно скачать оттуда же, откуда ее взял владелец компьютера.

И тогда объектом защиты является сам компьютер, его вычислительные
ресурсы, и цель - не дать его превратить в элемент ботнета для DDoS или
майнер биткойнов (в интересах, естественно, отнюдь не того, кто
оплачивает счета за электроэнергию).

> SecureBoot усложняет доступ злоумышленникам. И то что нам не
> нравится, это то, что это усложнение недостаточно сложно.

SecureBoot похож на стоящий посреди чистого поля (ну ладно, густого
леса) КПП, вокруг которого нет никакого забора. Кому не лень, может
сойти с дороги и спокойно его обойти.

Если мы ведем речь о сетевых атаках, то скорее объектом атаки будут
userspace программы, которые secureboot вообще не защищает.

Если об атаках с физическим доступом, то против отвертки и паяльника
чисто программные средства мало чего могут сделать.

Поэтому и интересна модель угроз Александра Герасиова, который тут
упомянул что защищает свой ноутбук именно от физического доступа, но
пока не расписал, при каких ограничениях. Точнее, на какие варианты
физических угроз он готов тратить свое время и деньги, а какие лучше не
рассматривать.

> 
> Мы можем рассуждать и ругать существующую ситуацию, или можем прийти
> к какому нибудь выводу, схеме, решению, которое может быть лучше, чем
> то что есть в данный момент. И начать пинать мейнтейнеров.

Начинать надо с себя. Безопасность она как фитнес. В какой бы дорогой
тренажерный зал ты ни ходил, каких бы продвинутых тренеров ни нанимал,
если сам не будешь впахивать до седьмого пота, мышц не накачаешь. Так и
с безопасностью. 

Тут первое с чем надо определиться - а кто у  нас решает, кому можно
доверять и в чём - мейнтейнер dkms, фирма микрософт, производитель
железа или все-таки владелец компьютера? Пока ответ на этот вопрос
"какая-то коммерческая фирма непонятно в какой стране", понятно чья
безопасность будет обеспечиваться и кто будет считаться потенциальным
злоумышленником.





-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

On 2/1/23 13:52, Victor Wagner wrote:

А DKMS это вообще паллиатив. Если мы используем DKMS, значит мы хотим
использовать какие-то лиценизонно не совместимые с мейнлайн-ядром
модули. Потому что если бы они были совместимы, был бы готовый пакет.

То есть по хорошему счету, используя DKMS мы сразу говорим "мы тут
доверяем какому-то левому коду исполняться в контексте ядра"
DKMS как система сборки тут ни при чём. Это никак не отменяет наличия общественно доступных ключей,
которым доверяет BIOS.
Даже если я не использую DKMS, злоумышленник сможет подсунуть мне подписанный драйвер, собранный у
него на компьютере и подписанный тем самым публичным ключом.

Или я что то не понимаю в системе подписи и доверия?

Да, это конечно иногда наименьшее зло. Но, возможно что авторы DKMS
именно так и рассудили, что снявши голову по волосам не плачут, и если
мы используем dkms-модули вместе с secureboot, secureboot нам нужен не
для безопасности, а для чего-то ещё (чтобы там TPM работал или чтобы
какие-нибудь сертифицирующие органы отвязались).

Как говорил один мой знакомый безопасник: Безопасность это не конечная точка, это процесс и больше
градация, чем "да" или "нет".

Чем сложнее получить доступ к данным, тем безопаснее.
SecureBoot усложняет доступ злоумышленникам. И то что нам не нравится, это то, что это усложнение
недостаточно сложно.

Мы можем рассуждать и ругать существующую ситуацию, или можем прийти к какому нибудь выводу, схеме,
решению, которое может быть лучше, чем то что есть в данный момент.

И начать пинать мейнтейнеров.

--
Тимур

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

В Wed, 1 Feb 2023 10:48:47 -0500
Tim Sattarov  пишет:

> On 2/1/23 10:19, Victor Wagner wrote:
> > В Wed, 1 Feb 2023 10:11:15 -0500

> Вот это уже интересно. А процесс защиты ограничен именно этими
> алгоритмами? Если ограничиться только secure boot и интерфейсом с
> BIOS/UEFI. Как бы выглядела идеальная защита там?
> 
> Maksim Dmitrichenko выше недоволен отсутствием ввода секрета во время
> подписи драйверов, что делает процесс больше фикцией,
> Так как секреты (ключи подписи) находятся там же где и сами артифакты
> для подписи. И ничего их не защищает.

И это вполне законная претензия

> только в получении рута на машине. Модули скачанные с сайта debian
> подписаны майнтейнером. Там более менее можно ограничить доступ к

Можно-то можно, но делается ли? Конечно если утечет ключ дебановского
мейнтейнера, скорее всего шуму будет на весть интернет. Как я уже писал
в соседнем письме,  в наше время правильно использовать подобные защиты
не умеет почти никто. Даже в этом треде термин "модель угроз" употребил
только  Alexander Gerasiov 

> секретному ключу. Но всё то что делает DKMS эту защиту опускает до
> своего уровня - права доступа к директории с модулями.

А DKMS это вообще паллиатив. Если мы используем DKMS, значит мы хотим
использовать какие-то лиценизонно не совместимые с мейнлайн-ядром
модули. Потому что если бы они были совместимы, был бы готовый пакет.

То есть по хорошему счету, используя DKMS мы сразу говорим "мы тут
доверяем какому-то левому коду исполняться в контексте ядра"

Да, это конечно иногда наименьшее зло. Но, возможно что авторы DKMS 
именно так и рассудили, что снявши голову по волосам не плачут, и если
мы используем dkms-модули вместе с secureboot, secureboot нам нужен не
для безопасности, а для чего-то ещё (чтобы там TPM работал или чтобы
какие-нибудь сертифицирующие органы отвязались).

-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

On 2/1/23 10:19, Victor Wagner wrote:

В Wed, 1 Feb 2023 10:11:15 -0500
Tim Sattarov пишет:

Если думаешь, что можно как то лучше и безопаснее - предлагай. Я
понимаю, что обличать и открывать глаза иногда полезно. Но ключевое
слово здесь "иногда".

По моим представлениям нужно:
1. Выстраивать непрерывную цепочку доверия от BIOS до конкретных
исполняемых модулей. Да, и скриптовых тоже, да, и разделяемых библиотек
тоже. То есть bsign это хорошо, но нужен еще scriptsign.
2. Проверка на подпись скриптов должна быть встроена в интерпретатор,
чтобы никакими средствами языка (. в shell, require в perl и т.д.)
нельзя было ее обойти.
3. По возможности физически разделять машины где ведется разработка (и
где подписываются исполняемые модули) и те, где защита секьюрбутом
применяется в боевом режиме в качестве защиты от реальных атак. Потому
что непонятно как совместить подпись каждого исполняемого файла в
системе с разработкой программ, а особенно скриптов-однострочников у
которых PKCS7-структура подписи будет больше места, чем содержательный
код занимать.

Вот это уже интересно. А процесс защиты ограничен именно этими алгоритмами?
Если ограничиться только secure boot и интерфейсом с BIOS/UEFI.
Как бы выглядела идеальная защита там?

Maksim Dmitrichenko выше недоволен отсутствием ввода секрета во время подписи драйверов, что делает
процесс больше фикцией,
Так как секреты (ключи подписи) находятся там же где и сами артифакты для подписи. И ничего их не
защищает.
Мало того, эти ключи находятся в публичном доступе, что не ограничивает злоумышленников от
использования этих публично доступных ключей для своих целей.

Как здесь быть? Получается, что вся защита только в получении рута на машине.
Модули скачанные с сайта debian подписаны майнтейнером. Там более менее можно ограничить доступ к
секретному ключу.

Но всё то что делает DKMS эту защиту опускает до своего уровня - права доступа
к директории с модулями.

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

В Wed, 1 Feb 2023 16:42:47 +0200
Alexander Gerasiov  пишет:


> Пароль можно добавить, но в моей модели угроз он не нужен. Для меня
> secureboot это гарантия, что на моем хосте нельзя забутить другую ОС
> и/или подменить ядро/загрузчик получив физический доступ к ноутбуку.

А можно подробнее про эту модель угроз? 

Что мы защищаем - данные на диске ноутбука или сам ноутбук как набор
вычислительных ресурсов? 

Каким временем располагает атакующий, получивший физический доступ к
ноутбуку, и какие средства обнаружения такого доступа предусмотрены? 




-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

В Wed, 1 Feb 2023 10:11:15 -0500
Tim Sattarov  пишет:

> Если думаешь, что можно как то лучше и безопаснее - предлагай. Я
> понимаю, что обличать и открывать глаза иногда полезно. Но ключевое
> слово здесь "иногда".

По моим представлениям нужно:
1. Выстраивать непрерывную цепочку доверия от BIOS до конкретных
исполняемых модулей. Да, и скриптовых тоже, да, и разделяемых библиотек
тоже. То есть bsign это хорошо, но нужен еще scriptsign. 
2. Проверка на подпись скриптов должна быть встроена в интерпретатор,
чтобы никакими средствами языка (. в shell, require в perl и т.д.)
нельзя было ее обойти. 
3. По возможности физически разделять машины где ведется разработка (и
где подписываются исполняемые модули) и те, где защита секьюрбутом
применяется в боевом режиме в качестве защиты от реальных атак. Потому
что непонятно как совместить подпись каждого исполняемого файла в
системе с разработкой программ, а особенно скриптов-однострочников у
которых PKCS7-структура подписи будет больше места, чем содержательный
код занимать.


-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

В Wed, 1 Feb 2023 18:28:53 +0400
Maksim Dmitrichenko  пишет:

> вт, 31 янв. 2023 г. в 18:43, Tim Sattarov :
> 
> > Тут встаёт вопрос а зачем вообще нужен Secure Boot.
> >
> > В моём случае когда то давно, когда я ставил дуал бут на лаптопе,
> > 11-я винда очень хотела его и нельзя было иметь secure boot только
> > для одной операционки.
> >  
> 
> Неужель на винде нельзя отлючить SecureBoot? Вроде можно.
> 
> Винде он нужен, чтобы нельзя было её активировать мимо кассы,
> естественно. Линуксу, для того, чтобы руткитов избежать по максимуму.
> Но если можно даже пускай с рутовыми правами, но без ввода пароля,
> подписать любой модуль в бэкграунде, то увы, это говно.
> 

В PKI и цепочки доверия в мире не умеет примерно никто ни в OpenSource
ни в проприетарщине. Даже bsign из большинства дистрибутивов
повыкидывали. Я его только в Astre имени различных российских городов
видел. (в смысле во всех Special Edition, их у них там много).



-- 
   Victor Wagner

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-01 Пенетрантность Alexander Gerasiov

On 2/1/23 09:28, Maksim Dmitrichenko wrote:

вт, 31 янв. 2023 г. в 18:43, Tim Sattarov :

Тут встаёт вопрос а зачем вообще нужен Secure Boot.

В моём случае когда то давно, когда я ставил дуал бут на лаптопе, 11-я
винда очень хотела его
и нельзя было иметь secure boot только для одной операционки.

Неужель на винде нельзя отлючить SecureBoot? Вроде можно.

Можно, но удобнее с ним. тот же TPM не включится без Secure Boot.

Винде он нужен, чтобы нельзя было её активировать мимо кассы, естественно. Линуксу, для того,
чтобы руткитов избежать по максимуму. Но если можно даже пускай с рутовыми правами, но без ввода
пароля, подписать любой модуль в бэкграунде, то увы, это говно.

Как ты уже заметил, в Линуксе это больше фикция и набор ритуалов, если кто то получит доступ к
системе и подпишет новые драйвера, то всё доверие на помойку.

Если думаешь, что можно как то лучше и безопаснее - предлагай. Я понимаю, что обличать и открывать
глаза иногда полезно. Но ключевое слово здесь "иногда".

--
Тимур

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

On Wed, 1 Feb 2023 17:34:22 +0400
Maksim Dmitrichenko  wrote:

> ср, 1 февр. 2023 г. в 16:40, Alexander Gerasiov :
> 
> > /lib/modules/"$1"/build/scripts/sign-file sha512
> > /etc/sicherboot/keys/db.key /etc/sicherboot/keys/db.cer "$2"
> >  
> 
> Штрилитц ещё никогда не был так близок к провалу )
> 
> Для не знающих немецкий, "sicher" - по-немецки "безопасный" в смысле
> "secure" )
> 
> А кто и в какой момент тебе эти ключи создал? И была ли возможность
> задать пароли при генерации?
> Потому что предыдущий оратор вроде как даже не заметил, как это всё
> произошло.
Ты не поверишь, их создал sicherboot.
Пароль можно добавить, но в моей модели угроз он не нужен. Для меня
secureboot это гарантия, что на моем хосте нельзя забутить другую ОС
и/или подменить ядро/загрузчик получив физический доступ к ноутбуку.


-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: a...@gerasiov.net  WWW: https://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-01 Пенетрантность Maksim Dmitrichenko

вт, 31 янв. 2023 г. в 18:43, Tim Sattarov :

> Тут встаёт вопрос а зачем вообще нужен Secure Boot.
>
> В моём случае когда то давно, когда я ставил дуал бут на лаптопе, 11-я
> винда очень хотела его и нельзя было иметь secure boot только для одной
> операционки.
>

Неужель на винде нельзя отлючить SecureBoot? Вроде можно.

Винде он нужен, чтобы нельзя было её активировать мимо кассы, естественно.
Линуксу, для того, чтобы руткитов избежать по максимуму. Но если можно даже
пускай с рутовыми правами, но без ввода пароля, подписать любой модуль в
бэкграунде, то увы, это говно.

-- 
With best regards
  Maksim Dmitrichenko

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-01 Пенетрантность Maksim Dmitrichenko

ср, 1 февр. 2023 г. в 16:40, Alexander Gerasiov :

> /lib/modules/"$1"/build/scripts/sign-file sha512
> /etc/sicherboot/keys/db.key /etc/sicherboot/keys/db.cer "$2"
>

Штрилитц ещё никогда не был так близок к провалу )

Для не знающих немецкий, "sicher" - по-немецки "безопасный" в смысле
"secure" )

А кто и в какой момент тебе эти ключи создал? И была ли возможность задать
пароли при генерации?
Потому что предыдущий оратор вроде как даже не заметил, как это всё
произошло.

-- 
With best regards
  Maksim Dmitrichenko

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-02-01 Пенетрантность Alexander Gerasiov

On Mon, 30 Jan 2023 20:47:11 +0300
Зиганшин Руслан  wrote:

> Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь
> на проблему:
> 
> $ cd "$MODULES_DIR/updates/dkms"
> bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого
> файла или каталога

[gq@fran:/etc]$ cat /etc/dkms/framework.conf 
## This configuration file modifies the behavior of
## DKMS (Dynamic Kernel Module Support) and is sourced
## in by DKMS every time it is run.

## Source Tree Location (default: /usr/src)
# source_tree="/usr/src"

## DKMS Tree Location (default: /var/lib/dkms)
# dkms_tree="/var/lib/dkms"

## Install Tree Location (default: /lib/modules)
# install_tree="/lib/modules"

## tmp Location (default: /tmp)
# tmp_location="/tmp"

## verbosity setting (verbose will be active if you set it to a non-null value)
# verbose=""

## symlink kernel modules (will be active if you set it to a non-null value)
## This creates symlinks from the install_tree into the dkms_tree instead of
## copying the modules. This preserves some space on the costs of being less
## safe.
# symlink_modules=""

## Automatic installation and upgrade for all installed kernels (if set to a
## non-null value)
# autoinstall_all_kernels=""

## Script to sign modules during build, script is called with kernel version
## and module name
sign_tool="/etc/dkms/sign_helper.sh"
[gq@fran:/etc]$ cat /etc/dkms/sign_helper.sh 
#!/bin/sh
/lib/modules/"$1"/build/scripts/sign-file sha512 /etc/sicherboot/keys/db.key 
/etc/sicherboot/keys/db.cer "$2"



-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: a...@gerasiov.net  WWW: https://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-01-31 Пенетрантность Tim Sattarov

On 1/31/23 09:31, Maksim Dmitrichenko wrote:

вт, 31 янв. 2023 г. в 04:31, Tim Sattarov :

```
Building module:
Cleaning build area...
env NV_VERBOSE=1 make -j8 modules
KERNEL_UNAME=6.1.0-2-amd64
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia.ko
Signing module
/var/lib/dkms/nvidia-current/510.108.03/build/nvidia-modeset.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-drm.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-uvm.ko
Signing module
/var/lib/dkms/nvidia-current/510.108.03/build/nvidia-peermem.ko
```

Судя по твоему удивлению, ни ключ создать, ни ввести от него пароль при подписании тебе не было
предложено.

Прелестно. Как в том мультике про уборщицу в банковском хранилище... )

Ты прав, ничего вводить не пришлось, всё само. Автоматически. Даже без моего
ведома.
Я думаю в остальных операционках (винда, мак) та же ситуация и драйвера не подписываются юзером
осознанно.

Но они и не компилируются (и не подписываются) на пользовательской машине.

Тут встаёт вопрос а зачем вообще нужен Secure Boot.

В моём случае когда то давно, когда я ставил дуал бут на лаптопе, 11-я винда очень хотела его и
нельзя было иметь secure boot только для одной операционки.

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-01-31 Пенетрантность Maksim Dmitrichenko

вт, 31 янв. 2023 г. в 04:31, Tim Sattarov :

> ```
> Building module:
> Cleaning build area...
> env NV_VERBOSE=1 make -j8 modules
> KERNEL_UNAME=6.1.0-2-amd64
> Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia.ko
> Signing module
> /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-modeset.ko
> Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-drm.ko
> Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-uvm.ko
> Signing module
> /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-peermem.ko
> ```
>

Судя по твоему удивлению, ни ключ создать, ни ввести от него пароль при
подписании тебе не было предложено.
Прелестно. Как в том мультике про уборщицу в банковском хранилище... )

-- 
With best regards
  Maksim Dmitrichenko

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-01-30 Пенетрантность Tim Sattarov


On 1/30/23 17:09, Andrey Jr. Melnikov wrote:


Дык, это задача dkms подписывать автоматически собранные модуля. Там правда
как всегда за последние пол года всё сломали три раза, но вроде последние
релизы dkms умеют отличать unsigned модули от signed и не падать после
сборки (подписывать при наличии ключей если это действительно требуется).


И вправду, только вот проапдейтил одну машину с nvidia и там лог выглядит вот 
так:

```
Building module:
Cleaning build area...
env NV_VERBOSE=1 make -j8 modules KERNEL_UNAME=6.1.0-2-amd64
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-modeset.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-drm.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-uvm.ko
Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-peermem.ko
```

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-01-30 Пенетрантность Andrey Jr. Melnikov

Зиганшин Руслан  wrote:
> [-- text/plain, encoding base64, charset: UTF-8, 5 lines --]

> Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на
> проблему:

А можно поинтересоваться - зачем? Если кто-то получил физический доступ к
машине, он свой shim принесёт, подписанный тем-же микрософтом и загрузится.
Удалишь ключи от M$ (ну если сможешь конечно) - поимеешь незапускаемый
видео-биос и отсутствие видеокарты. Или у тебя есть coreboot для своей платы?

> $ cd "$MODULES_DIR/updates/dkms"
> bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого файла
> или каталога

Дык, это задача dkms подписывать автоматически собранные модуля. Там правда
как всегда за последние пол года всё сломали три раза, но вроде последние
релизы dkms умеют отличать unsigned модули от signed и не падать после
сборки (подписывать при наличии ключей если это действительно требуется).

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-01-30 Пенетрантность Tim Sattarov


On 1/30/23 14:29, Зиганшин Руслан wrote:
Сейчас драйвера временно удалены, но вообще они были установлены командой sudo apt install 
nvidia-driver.


P.S. Сейчас подумал, что, возможно, помешало то, что первоначально драйвера устанавливал от 
bullseye, а ядро от bullseye-updates. Если дело в этом, то предстоит также выяснить, как 
установить приоритет драйверов для updates, поскольку там, как ни странно, более старая версия, 
чем в bullseye.





По ссылке указанной ранее:


Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на 
проблему:



>  cd "$MODULES_DIR/updates/dkms" # For dkms packages


То есть ожидается что установлен nvidia-kernel-dkms который кладёт драйвер в 
эту папку.
Как можно подписывать что-то, если оно не установлено?

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-01-30 Пенетрантность Зиганшин Руслан

Сейчас драйвера временно удалены, но вообще они были установлены командой
sudo apt install nvidia-driver.

P.S. Сейчас подумал, что, возможно, помешало то, что первоначально драйвера
устанавливал от bullseye, а ядро от bullseye-updates. Если дело в этом, то
предстоит также выяснить, как установить приоритет драйверов для updates,
поскольку там, как ни странно, более старая версия, чем в bullseye.

пн, 30 янв. 2023 г., 21:10 Tim Sattarov :

> On 1/30/23 12:47, Зиганшин Руслан wrote:
>
> Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на
> проблему:
>
> $ cd "$MODULES_DIR/updates/dkms"
> bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого
> файла или каталога
>
>
> А откуда установлены драйвера сейчас? Этот путь есть только там, где есть
> dkms дрова...
>
> ```
> $ ls -l $MODULES_DIR/updates/dkms/nvidia-current*
> -rw-r--r-- 1 root root   150373 Jan 27 09:15
> /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-drm.ko
> -rw-r--r-- 1 root root 46155045 Jan 27 09:15
> /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current.ko
> -rw-r--r-- 1 root root  1554549 Jan 27 09:15
> /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-modeset.ko
> -rw-r--r-- 1 root root 7101 Jan 27 09:15
> /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-peermem.ko
> -rw-r--r-- 1 root root  2321037 Jan 27 09:15
> /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-uvm.ko
> ```
>

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-01-30 Пенетрантность Tim Sattarov


On 1/30/23 12:47, Зиганшин Руслан wrote:

Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на 
проблему:

$ cd "$MODULES_DIR/updates/dkms"
bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого файла или 
каталога



А откуда установлены драйвера сейчас? Этот путь есть только там, где есть dkms 
дрова...

```
$ ls -l $MODULES_DIR/updates/dkms/nvidia-current*
-rw-r--r-- 1 root root   150373 Jan 27 09:15 
/lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-drm.ko

-rw-r--r-- 1 root root 46155045 Jan 27 09:15 
/lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current.ko
-rw-r--r-- 1 root root  1554549 Jan 27 09:15 
/lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-modeset.ko
-rw-r--r-- 1 root root 7101 Jan 27 09:15 
/lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-peermem.ko
-rw-r--r-- 1 root root  2321037 Jan 27 09:15 
/lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-uvm.ko

```

Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

2023-01-30 Пенетрантность Зиганшин Руслан

Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на
проблему:

$ cd "$MODULES_DIR/updates/dkms"
bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого файла
или каталога

Re: Ядро 5.14 и драйвер Nvidia

2021-10-04 Пенетрантность Andrey Jr. Melnikov

Victor Wagner  wrote:
> В Sat, 2 Oct 2021 15:42:09 +0300
> "Andrey Jr. Melnikov"  пишет:

> > Victor Wagner  wrote:
> > > В Fri, 1 Oct 2021 00:35:15 +0300
> > > "Andrey Jr. Melnikov"  пишет:  
> > 
> > 
> > > > PS: А как-же ты живешь, на нутбуке то с отключенным hibernate? От
> > > > розетки до розетки? А нет розетки - всё, прощай всё запущеное
> > > > вместе с питанием?  
> > 
> > > Как я живу описано вот здесь:
> > > https://www.wagner.pp.ru/fossil/advice/doc/trunk/screen.md  
> > screen, кто бы соменвался. А почему не tmux? У него хоть нет проблем с
> > цветами в xterm.
> > Вот имеено - БРАУЗЕР. В котором живут открытые вкладки, с логинами
> > действующими до закрытия, странички, которые вчера были, а сегодня
> > уже нет, и ещё куча всего, включая недописанный коммент в рабочую
> > хреновину.

> Я никогда не держу открытых вкладок более нескольких часов.

> И вы так не делайте - не будете страдать что дюжины гигабайт памяти на
> браузер не хватает.
Я от этого не страдаю. Последних лет 10 наверное. 

на рабочей машине:
$ ps axfu | grep firefox | awk '{ vsz+=$5; rss+=$6}END {print vsz " " rss}'
61402108 5170960

на ноутбуке:
$ ps axfu | grep firefox | awk '{ vsz+=$5; rss+=$6}END {print vsz " " rss}'
59016632 3996748

Жрёть firefox свои 4-5 гигов - пусть жрёть, там их есть. Чай не windows 3.11
с трумпетом + netscape и всё это на 8 мегабайтах памяти, с жутким свопом на
MFM диск.

> Для сохранения вещей, которые надо хранить существуют не вкладки, а
> букмарки.
Да? А мужики то не знали (С). Сегодня есть страничка, а завтра "сервер
отключен за неуплату" или вообще супер-пупер websiteparking: посмотрите нашу
рекламку и пройдите к манагеру купить домен, если оно вам так надо.

> Если ты не дописал коммент куда либо в течение получаса, закрой
> вкладку. Потому что значит его вообще не стоит писать.
> И уж во всяком случае в рабочую хреновину - там часто через полчаса уже
> и читать-то не стоит.
Витус, извини конечно, но это ты сейчас фигню сказал. Есть задачи, на
описание которых приходится потратить день или два. С добавлением логов, с
кусками конфигов и прочей чешуи. Предлагаешь делать комменты в стиле "а-ля
твиттер", по 3 слова но зато раз в 15 минут? В системах с авто-расчётом KPI
по комментам/комитам это наверное да, будет показывать хороший результат.

> А странички, которые сегодня есть, а завтра могут исчезнуть, надо
> сохранять целиком. 
Это невозможно спрогнозировать. Сегодня есть некий бложик с умными мыслями,
а завтра всего провайдера роскопозор заблокировал.. Мне теперь чего - всё
сохранять? Впрочем, я их так и сохраняю - то, что представляет определенную
ценность - в pdf и на диск, то, что нужно на прочитать пару раз или
подсмотреть, как там нетривиально надо набрать пару-тройку-десяток команд в
определённой последовательности - в открытых вкладках. И пусть у firefox'а
cache manager напрягается, как там это всё хранить на диске и мне
показывать. Зачем мне делать его работу???
А с учётом "интеллектуальности" поисковых систем, совершенно не факт, что
найдя эту страничку сегодня - можно будет найти её завтра.

> Приучите себя делать  логаут из рабочей сессии минимум дважды в сутки -
> уходя  на обед и заканчивая рабочий день. От того что сессия будет
> дважды в день начинаться с чистого листа, ваша продуктивность
> существенно повысится.
Да, я так уже делал. Лет 15 назад, когда админил один маленький заводик в
одной очень не маленькой мировой мегакорпарации - там из всех очень нужных
инструментов был mahjong и браузер с анекдотами. Маджонг оставлять висеть
нету смысла - он время считает, а анекдоты всё-равно надо reload каждый
день, а то стареют. Ко всему остальному - увы, приходилось ходить ножками.

А здесь, я совершенно не вижу смысла - зачем делать себе неудобно? Зачем
каждый раз открывать кучу терминалов, запускать браузер, открывать кучу
вкладок в разные веб-морды разного барахала (да будь прокляты те манагеры,
у которых одно решение для управления - web). Что я на этом сэкономлю?

Пихать всё в screen/tmux - это не выход. Все эти мультиплексоры - костыли
разного рода удобности. Да, запустить там какой tcpdump в screen'e и
включить log окошка - это удобно. Но на этом удобства кончаются, а
начинаются проблемы - то scrollbuffer маленький, надо лезть куда-то его
подкручивать, то с SSH_AUTH_SOCK - надо ещё везде скрипты костылить, с
симлинками. Переодически ребиндить C-a в сторону, а то в minicom мешается
или ещё в каком месте.

Re: Ядро 5.14 и драйвер Nvidia

2021-10-03 Пенетрантность Victor Wagner

В Sat, 2 Oct 2021 15:42:09 +0300
"Andrey Jr. Melnikov"  пишет:

> Victor Wagner  wrote:
> > В Fri, 1 Oct 2021 00:35:15 +0300
> > "Andrey Jr. Melnikov"  пишет:  
> 
> 
> > > PS: А как-же ты живешь, на нутбуке то с отключенным hibernate? От
> > > розетки до розетки? А нет розетки - всё, прощай всё запущеное
> > > вместе с питанием?  
> 
> > Как я живу описано вот здесь:
> > https://www.wagner.pp.ru/fossil/advice/doc/trunk/screen.md  
> screen, кто бы соменвался. А почему не tmux? У него хоть нет проблем с
> цветами в xterm.
> Вот имеено - БРАУЗЕР. В котором живут открытые вкладки, с логинами
> действующими до закрытия, странички, которые вчера были, а сегодня
> уже нет, и ещё куча всего, включая недописанный коммент в рабочую
> хреновину.

Я никогда не держу открытых вкладок более нескольких часов.

И вы так не делайте - не будете страдать что дюжины гигабайт памяти на
браузер не хватает.

Для сохранения вещей, которые надо хранить существуют не вкладки, а
букмарки.

Если ты не дописал коммент куда либо в течение получаса, закрой
вкладку. Потому что значит его вообще не стоит писать.
И уж во всяком случае в рабочую хреновину - там часто через полчаса уже
и читать-то не стоит.

А странички, которые сегодня есть, а завтра могут исчезнуть, надо
сохранять целиком. 

Приучите себя делать  логаут из рабочей сессии минимум дважды в сутки -
уходя  на обед и заканчивая рабочий день. От того что сессия будет
дважды в день начинаться с чистого листа, ваша продуктивность
существенно повысится.

> > И если я свой ноутбук положу в саспенд, то все равно все сетевые
> > сессии оборвутся. Со стороны сервера, который таких таймаутов не
> > оценит.  
> 
> Это пробелмы сервера. То, чего надо чтоб не рвалось - можно и в скрине
> запустить, если оно конечно консольное.

Это не проблемы сервера. Это вполне осмысленное и правильное поведение
сервера. 

--

Re: Ядро 5.14 и драйвер Nvidia

2021-10-02 Пенетрантность Andrey Jr. Melnikov

Victor Wagner  wrote:
> В Fri, 1 Oct 2021 00:35:15 +0300
> "Andrey Jr. Melnikov"  пишет:


> > PS: А как-же ты живешь, на нутбуке то с отключенным hibernate? От
> > розетки до розетки? А нет розетки - всё, прощай всё запущеное вместе
> > с питанием?

> Как я живу описано вот здесь:
> https://www.wagner.pp.ru/fossil/advice/doc/trunk/screen.md
screen, кто бы соменвался. А почему не tmux? У него хоть нет проблем с
цветами в xterm.

> Ноутук же он почти-что чистый терминал. НА нем браузер да куча
> ssh-сессий на более другие машины с бесперебойниками, бэкапными
> дизелями и все такое.
Вот имеено - БРАУЗЕР. В котором живут открытые вкладки, с логинами
действующими до закрытия, странички, которые вчера были, а сегодня уже нет,
и ещё куча всего, включая недописанный коммент в рабочую хреновину.

При укладывании этого всего в suspend/hibernate (а в hibernate я его
отправляю, когда кончается заряд батареи) - оно всё останется. 

> И если я свой ноутбук положу в саспенд, то все равно все сетевые сессии
> оборвутся. Со стороны сервера, который таких таймаутов не оценит.

Это пробелмы сервера. То, чего надо чтоб не рвалось - можно и в скрине
запустить, если оно конечно консольное.

Re: Ядро 5.14 и драйвер Nvidia

2021-10-01 Пенетрантность Victor Wagner

В Fri, 1 Oct 2021 00:35:15 +0300
"Andrey Jr. Melnikov"  пишет:


> PS: А как-же ты живешь, на нутбуке то с отключенным hibernate? От
> розетки до розетки? А нет розетки - всё, прощай всё запущеное вместе
> с питанием?

Как я живу описано вот здесь:
https://www.wagner.pp.ru/fossil/advice/doc/trunk/screen.md

Ноутук же он почти-что чистый терминал. НА нем браузер да куча
ssh-сессий на более другие машины с бесперебойниками, бэкапными
дизелями и все такое.

И если я свой ноутбук положу в саспенд, то все равно все сетевые сессии
оборвутся. Со стороны сервера, который таких таймаутов не оценит.




-- 
   Victor Wagner

Re: Ядро 5.14 и драйвер Nvidia

2021-10-01 Пенетрантность Eugene Berdnikov

On Fri, Oct 01, 2021 at 12:35:15AM +0300, Andrey Jr. Melnikov wrote:
> PS: А как-же ты живешь, на нутбуке то с отключенным hibernate? От розетки до
> розетки? А нет розетки - всё, прощай всё запущеное вместе с питанием?

 Если ненадолго, то в принципе есть suspend, но я бы не смог спать спокойно
 даже в саспенде если карта nvidia да ещё и драйвер проприетарный. :)
-- 
 Eugene Berdnikov

Re: Ядро 5.14 и драйвер Nvidia

2021-09-30 Пенетрантность Andrey Jr. Melnikov

Victor Wagner  wrote:
> В Thu, 30 Sep 2021 00:36:08 +0300
> "Andrey Jr. Melnikov"  пишет:


> > > Но вот чтобы патч у меня применился при выполнении команды
> > 
> > > dpkg --confgure nvidia-kernel-dkms,
> > > его имя пришлось дописывать не в series, а в dkms.conf.
> > 
> > Ну а кто тебе виноват-то, что ты идешь длинными путями?
> > dkms autoinstall --kernelver $(uname -r) даёт тот-же результат,
> > только без тормозного dpkg.

> Нет, не тот же. Потому что рано или поздно нужно будет заменять
> самостоятельно поправленную конструкцию на штатную. Оно уже в
> Unstable, а там глядишь и до bullseye-backports доползет.
Она заменится автоматически. Когда до bullseye-backports доползёт ядро,
туда-же доползёт и драйвер под это ядро. Не вижу смысла из-за одноразового
действия плясать с бубном вокруг dpkg. 

Но таков путь самуря^W^H дебианщика - ubuntu вон умеет собирать сразу с
ядром и nivida и zfs.

> > > После этого модуль собрался. А вот чтобы он загрузился, пришлось еще
> > > читать
> > >  
> > > https://wiki.debian.org/SecureBoot, генерировать machine owner key,
> > > инсталлировать его в UEFI, и подписывать модули.
> > А просто выключить всю эту DRM'щину от M$ нельзя? 

> Я б лучше еще "замкнутую программную среду" включил, чтобы подписи
> требовали не только ядерные модули, но и юзерспейс-программы и
> подгружаемые в них .so. Ноутбук у меня для того, чтобы им пользоваться,
> а не для того, чтобы ядро хакать. Поэтому лишний уровень защиты от
> модификации кода используемых программ скорее полезен.
Ах, вот для кого новый windows будет хотеть исключительно TPM2. Больше
подписей богу подписей. А можно, вы с своей крипто-паранойей будете в
отдельном загончике - на исконно православных Байкалах/Эльбрусах. Там правда
у тебя не будет такой потребности в подписывании модулей ядра от nvidia - за
полным её отсутствием. Как и впрочем, более менее вменяемых видоядер,
ноутбуков и прочего.

И M$ можно понять, за что они так двигают свой UEFI - ворют'с, бабки мимо
кассы уходят. Они бы и биосы с лицензией сделали - купи ключик на сайте на 5
модификаций basic настроек, купи подписку "Сертифицированный UEFI админ" и
ты сможешь даже настроить тайминги у памяти. Отдельно с подпиской "Мамкин
оверклокер" доступны новые, сертифицированные версии UEFI для разгона.
Но я думаю, к этому они тоже дойдут, только чуть позже.

> Но не менять же ради этого Debian на Astra Smolensk 1.7 - там пакетов
> меньше. НУ и опять же питоновские и lua скрипты bsign там подписыать не
> умеет. Поэтому решение неплоноценное.
Да-да, ты ещё браузеры все заставь загружать подписанный javascript и
webassembly. А уж про запуск какой древней виндовой софтины в wine - подумать
страшно.

> > > Но нельзя сказать, чтобы в результате этих трудов FPS в Unigine
> > > Heaven сильно вырос.
> > 
> Если уж от чего-то отказываться, то не от подписи ядерных модулей. а от
> использования проприетарного драйвера. Тем более, что 
> nouveau вполне подрос и не сильно уступает по крайней мере на
> использованном тесте.
Подрос - в смысле, разжирел? Это да. Управление питанием/частотой - оно так
и не научилось, CUDA? А что такое CUDA? Ну да ладно, с этой кудой - как там
с поддержкой 3D ? Всё так-же печально, как и всегда? Только вот смузихлёбы
из GNOME хотят уже давно "примитивно рабочий" 3D, а без него банальное
переключение окошек по Alt-Tab лагает.

PS: А как-же ты живешь, на нутбуке то с отключенным hibernate? От розетки до
розетки? А нет розетки - всё, прощай всё запущеное вместе с питанием?

PPS: Впрочем, 470.57.02 и 470.74 страдают занятным багом, после цикла
suspend-resume все окна firefox'a становятся похожи на цветные такие
абстракции в стиле кубизма. С 460.91.03 такой фигни небыло.

И дальше всё как в старой сказке - фаирфоксовцы тычут в nvidia, что нет
проперти EGL_NV_robustness_video_memory_purge, nvidia обещает эту проперть
родить в 495.xx версии. Хоть за радеоном иди, чтоб простейший firefox
работал.

Re: Ядро 5.14 и драйвер Nvidia

2021-09-30 Пенетрантность Victor Wagner

в> 
>  В этом разделе
> https://wiki.debian.org/SecureBoot#Secure_Boot_limitations среди
> утрачиваемых от всей этой паранойи фишек упоминается
> 
>  * Hibernation and resume from hibernation.
> 
>  Это правда? Вам действительно очень нужен такой ноутбук?

Конечно, нужен. Как правило с ноутбуком все же работать приходится из
квартиры или офиса, где с розетками всё в порядке. А процесс
загрузки-шатдауна достаточно быстрый, чтобы с гибернацией не
связываться.

Опять же - памяти много, а SSD маленький и отводить аж 1/64 всего SSD
на своп как-то жалко. А без свопа размером со всю память, по-моему
гибернация все равно не работает.



-- 
   Victor Wagner

Re: Ядро 5.14 и драйвер Nvidia

2021-09-30 Пенетрантность Eugene Berdnikov

On Thu, Sep 30, 2021 at 08:36:40AM +0300, Victor Wagner wrote:
> В Thu, 30 Sep 2021 00:36:08 +0300
> "Andrey Jr. Melnikov"  пишет:
> > > https://wiki.debian.org/SecureBoot, генерировать machine owner key,
> > > инсталлировать его в UEFI, и подписывать модули.
> > А просто выключить всю эту DRM'щину от M$ нельзя? 
> 
> Я б лучше еще "замкнутую программную среду" включил, чтобы подписи
> требовали не только ядерные модули, но и юзерспейс-программы и
> подгружаемые в них .so. Ноутбук у меня для того, чтобы им пользоваться,
> а не для того, чтобы ядро хакать. Поэтому лишний уровень защиты от
> модификации кода используемых программ скорее полезен.

 В этом разделе https://wiki.debian.org/SecureBoot#Secure_Boot_limitations
 среди утрачиваемых от всей этой паранойи фишек упоминается

 * Hibernation and resume from hibernation.

 Это правда? Вам действительно очень нужен такой ноутбук?
-- 
 Eugene Berdnikov

Re: Ядро 5.14 и драйвер Nvidia

2021-09-29 Пенетрантность Andrey Jr. Melnikov

В Thu, 30 Sep 2021 00:36:08 +0300
"Andrey Jr. Melnikov"  пишет:


> > Но вот чтобы патч у меня применился при выполнении команды
> 
> > dpkg --confgure nvidia-kernel-dkms,
> > его имя пришлось дописывать не в series, а в dkms.conf.
> 
> Ну а кто тебе виноват-то, что ты идешь длинными путями?
> dkms autoinstall --kernelver $(uname -r) даёт тот-же результат,
> только без тормозного dpkg.

Нет, не тот же. Потому что рано или поздно нужно будет заменять
самостоятельно поправленную конструкцию на штатную. Оно уже в
Unstable, а там глядишь и до bullseye-backports доползет.

> 
> > После этого модуль собрался. А вот чтобы он загрузился, пришлось еще
> > читать
> >  
> > https://wiki.debian.org/SecureBoot, генерировать machine owner key,
> > инсталлировать его в UEFI, и подписывать модули.
> А просто выключить всю эту DRM'щину от M$ нельзя? 

Я б лучше еще "замкнутую программную среду" включил, чтобы подписи
требовали не только ядерные модули, но и юзерспейс-программы и
подгружаемые в них .so. Ноутбук у меня для того, чтобы им пользоваться,
а не для того, чтобы ядро хакать. Поэтому лишний уровень защиты от
модификации кода используемых программ скорее полезен.
 
Но не менять же ради этого Debian на Astra Smolensk 1.7 - там пакетов
меньше. НУ и опять же питоновские и lua скрипты bsign там подписыать не
умеет. Поэтому решение неплоноценное.


> > Но нельзя сказать, чтобы в результате этих трудов FPS в Unigine
> > Heaven сильно вырос.
> 
Если уж от чего-то отказываться, то не от подписи ядерных модулей. а от
использования проприетарного драйвера. Тем более, что 
nouveau вполне подрос и не сильно уступает по крайней мере на
использованном тесте.

-- 
   Victor Wagner

Re: Ядро 5.14 и драйвер Nvidia

Victor Wagner  wrote:
> 1.03) ни из bookworm (470.57.02)
> > > Возьми отсюда
> > > https://gist.github.com/joanbm/144a965c36fc1dc0d1f1b9be3438a368 патч
> > > положи в /usr/src/nvidia-current-470.57.02/patches/ добавь там-же в
> > > series и пересобери dkms'ом.
> > >   
> > 
> > Э, нет. Этот фикс для 465. А в 470 есть еще одно вхождение 
> > 
> > поля state из struct task_struct.

> Был неправ. Патч работоспособный, просто он патчит .h файл, который
> включается теперь более одного раза.

fix уже в unstable:

nvidia-graphics-drivers (470.57.02-3) unstable; urgency=medium

  * Backport drm_device_has_pdev and set_current_state changes from 470.63.01
to fix kernel module build for Linux 5.14.  (Closes: #994860)
 

> Но вот чтобы патч у меня применился при выполнении команды

> dpkg --confgure nvidia-kernel-dkms,
> его имя пришлось дописывать не в series, а в dkms.conf.

Ну а кто тебе виноват-то, что ты идешь длинными путями?
dkms autoinstall --kernelver $(uname -r) даёт тот-же результат, только без
тормозного dpkg.

> После этого модуль собрался. А вот чтобы он загрузился, пришлось еще
> читать
>  
> https://wiki.debian.org/SecureBoot, генерировать machine owner key,
> инсталлировать его в UEFI, и подписывать модули.
А просто выключить всю эту DRM'щину от M$ нельзя? 

> Но нельзя сказать, чтобы в результате этих трудов FPS в Unigine Heaven
> сильно вырос.

Re: Ядро 5.14 и драйвер Nvidia

2021-09-29 Пенетрантность Maksim Dmitrichenko

В Wed, 29 Sep 2021 19:18:28 +0300
Maksim Dmitrichenko  пишет:

> ср, 29 сент. 2021 г. в 17:52, Victor Wagner :
> 
> > После этого модуль собрался. А вот чтобы он загрузился, пришлось еще
> > читать
> >
> >
> > https://wiki.debian.org/SecureBoot, генерировать machine owner key,
> > инсталлировать его в UEFI, и подписывать модули.
> >
> 
> Более того, это придется делать теперь каждый раз при обновлении ядра
> или модуля ( В смысле генерить не придется, а вот подписывать надо
> будет.
> 

Ну это касается только самостоятельно скомпилированных модулей.
Нормальные-то модули с нормальной лицензией подпишет мейнтейнер пакета.
А вот проприетарные, которые приходится каждому у себя пересобирать -
увы...

Вообще конечно, немножко у них непродумано. Надо бы уметь в сертификаты
Name constraint-ы прописывать. Что вот вот этот ключ - он только для
подписи модулей, собранных через dkms.

Ну и саму dkms тоже подписать bsign-ом и чтобы проверяла корректность
подписи под пакетом с исходниками, и только потом подписывала. 

Но вот bsign-а по-моему в Debian уже лет десять как нет.

Так-то в принципе сделать криптографическую защиту кода по всей цепочке
от загрузчика до прикладного софта, так чтобы для нормального
пользователя это было удобно, а  для разработчиков "можно привыкнуть" -
можно.


-- 
   Victor Wagner

Re: Ядро 5.14 и драйвер Nvidia

ср, 29 сент. 2021 г. в 17:52, Victor Wagner :

> После этого модуль собрался. А вот чтобы он загрузился, пришлось еще
> читать
>
>
> https://wiki.debian.org/SecureBoot, генерировать machine owner key,
> инсталлировать его в UEFI, и подписывать модули.
>

Более того, это придется делать теперь каждый раз при обновлении ядра или
модуля ( В смысле генерить не придется, а вот подписывать надо будет.

-- 
With best regards
  Maksim Dmitrichenko

Re: Ядро 5.14 и драйвер Nvidia

1.03) ни из bookworm (470.57.02)
> > Возьми отсюда
> > https://gist.github.com/joanbm/144a965c36fc1dc0d1f1b9be3438a368 патч
> > положи в /usr/src/nvidia-current-470.57.02/patches/ добавь там-же в
> > series и пересобери dkms'ом.
> >   
> 
> Э, нет. Этот фикс для 465. А в 470 есть еще одно вхождение 
> 
> поля state из struct task_struct.

Был неправ. Патч работоспособный, просто он патчит .h файл, который
включается теперь более одного раза.

Но вот чтобы патч у меня применился при выполнении команды

dpkg --confgure nvidia-kernel-dkms,

его имя пришлось дописывать не в series, а в dkms.conf.

После этого модуль собрался. А вот чтобы он загрузился, пришлось еще
читать

 
https://wiki.debian.org/SecureBoot, генерировать machine owner key,
инсталлировать его в UEFI, и подписывать модули.

Но нельзя сказать, чтобы в результате этих трудов FPS в Unigine Heaven
сильно вырос.

-- 
   Victor Wagner

Re: Ядро 5.14 и драйвер Nvidia

2021-09-29 Пенетрантность Andrey Jr. Melnikov

В Wed, 29 Sep 2021 16:04:38 +0300
"Andrey Jr. Melnikov"  пишет:

> Victor Wagner  wrote:
> > Коллеги,   
> 
> > Тут такой вопрос - есть ноутбук ASUS FX506LI.
> > Поставил на него bullseye
> > Для того, чтобы можно было использовать его wifi   
> 
> > 03:00.0 Network controller [0280]: MEDIATEK Corp. Device
> > [14c3:7961]  
> 
> > пришлось поставить туда ядро из 5.14 из testing (по-моему этот
> > контроллер с 5.13 начиная поддерживается, а в bullseye у нас 5.10)  
> 
> > Но с ядром 5.14 не работает сейчас проприетарный драйвер Nvidia, ни
> > из bullseye, (460.91.03) ни из bookworm (470.57.02)  
> Возьми отсюда
> https://gist.github.com/joanbm/144a965c36fc1dc0d1f1b9be3438a368 патч
> положи в /usr/src/nvidia-current-470.57.02/patches/ добавь там-же в
> series и пересобери dkms'ом.
> 

Э, нет. Этот фикс для 465. А в 470 есть еще одно вхождение 

поля state из struct task_struct.
-- 
   Victor Wagner

Re: Ядро 5.14 и драйвер Nvidia

Victor Wagner  wrote:
> Коллеги, 

> Тут такой вопрос - есть ноутбук ASUS FX506LI.
> Поставил на него bullseye
> Для того, чтобы можно было использовать его wifi 

> 03:00.0 Network controller [0280]: MEDIATEK Corp. Device [14c3:7961]

> пришлось поставить туда ядро из 5.14 из testing (по-моему этот
> контроллер с 5.13 начиная поддерживается, а в bullseye у нас 5.10)

> Но с ядром 5.14 не работает сейчас проприетарный драйвер Nvidia, ни из
> bullseye, (460.91.03) ни из bookworm (470.57.02)
Возьми отсюда https://gist.github.com/joanbm/144a965c36fc1dc0d1f1b9be3438a368 
патч
положи в /usr/src/nvidia-current-470.57.02/patches/ добавь там-же в series и
пересобери dkms'ом.

Re: Ядро 5.14 и драйвер Nvidia

2021-09-29 Пенетрантность Alexei Ustyuzhaninov

Здравствуйте!

Буквально вчера собрал из исходников (пакеты linux-source и
nvidia-kernel-source) ядро 5.14 и драйвер 470.57.02.

Все работает.

On 29.09.2021 13:29, Victor Wagner wrote:

Коллеги,

Тут такой вопрос - есть ноутбук ASUS FX506LI.
Поставил на него bullseye
Для того, чтобы можно было использовать его wifi

03:00.0 Network controller [0280]: MEDIATEK Corp. Device [14c3:7961]

пришлось поставить туда ядро из 5.14 из testing (по-моему этот
контроллер с 5.13 начиная поддерживается, а в bullseye у нас 5.10)

Но с ядром 5.14 не работает сейчас проприетарный драйвер Nvidia, ни из
bullseye, (460.91.03) ни из bookworm (470.57.02)
Согласно информации на сайте NVidia поддержка ядра 5.14 появилась у них
только в драйвере версии 470.74. В Debian такого нет даже в
experimental.

Правда есть в ubuntu и там он аж до 18.04 сбэкпорчен.

Вот что посоветуете - брать исходники пакета nvidia-graphic-drivers,
заменять в нем NVIDIA-Linux-x86_64-nnn.nn.nn.run на 470.74 и поднимать
версию, или братьь исходники пакета правильной версии из Ubuntu и
пересобирать под Debian? И если из ubuntu брать пакет от focal
(20.04lts) иди impish (21.10)? Кто будет более совместим с Debian
bullseye?

В итоге, понятно, хочется получить пакет nvidia-dkms, который будет
аккуратно пересобирать драйвер при последующих апгрейдах ядра в рамках
5.14 версии (оно ведь наверняка скоро до bullseye-backports доползет).

P.S. Mesa с nouveau на этом ноутбуке показывают 11-12fps в Unigine
Heaven. Хочется, понятно, больше.

Ядро 5.14 и драйвер Nvidia