[devel] Q: pesign/UEFI

Michael Shigorin mike на altlinux.org
Чт Ноя 23 21:05:58 MSK 2017 

On Thu, Nov 23, 2017 at 01:07:33PM +0100, Konstantin Lepikhov wrote:
> Вот есть такой документ на wiki
> https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Он про реализацию секирбута в дистрибутиве, а не как руководство
майнтейнерам.  Написано по мотивам заметок на манжетах и переписки,
которую разрешили опубликовать (страшно там всё по-цеховому было
в этом плане).

> - Как это работает в hasher?
> - Как у нас подписан grub2? В сизифе я вижу что grub2-efi подписан
>   сертификатом ALT UEFI SB Signer который выдан ALT Certification
>   Authority. Где его взять и как это работает для локальных сборок?

Для локальных он, разумеется, недоступен по условиям UEFI CA.

> Если смотреть на другие дистрибутивы, то Fedora/RHEL, например,
> носят базу сертификатов внутри pesigner -
> http://pkgs.fedoraproject.org/cgit/rpms/pesign.git/tree/sources?id=ecaa79e05842e97081d7404d3af15b38ee4e54e3
> У нас этой базы нет (или она есть где-то на сборочных серверах ООО?)

Этой -- нету, тестовую на серверах держать смысла нет, там боевая.

> поэтому непонятно как реализовать не находясь на сборочном
> сервере с нужным роялем в кустах.

Боюсь, у тебя быстрее получится выяснить по уже опубликованному,
чем мне -- добраться и хотя бы вспомнить.  Дело в том, что на
pesign переезжали уже тогда, когда решили в общих чертах, как это
всё интегрировать в сборочницу (и отчасти как раз по этому) --
а тестовые alt-uefi-certs делались в расчёте на sbsigntool,
см. ранние варианты спека какого-нить shim или refind, точнее
не помню.  Наверное, их можно перегнать в формат для pesign,
просто сделать для pesign новые тестовые должно быть быстрей
и ничем не хуже.

> Пока у меня получается такой вывод при сборке:
[...]
> + '[' -S /var/run/pesign/socketdir/socket ']'

Вот сюда должен быть просунут сокет от серверной стороны pesign.
Как именно делается в girar -- см. gb/remote/gb-remote-pesign,
видимо.  Ещё был причастен rpmrebuild-pesign, как напомнил ls(1).


On Thu, Nov 23, 2017 at 01:56:35PM +0100, Konstantin Lepikhov wrote:
> Но все-таки, может есть смысл сгенерить таки тестовые
> сертификаты для локальных сборок и запаковать их вместе
> с pesign, чтобы понимать, что подпись работает как надо?

[ на этой точке заметил pesign-test-certs ]

PS: если где-нить что-нить задокументируешь -- тоже спасибо.
Просто на ранней стадии этих работ у меня ещё были надежды,
что всякие там свои сертификаты (в работу, не для проверки)
кому-то нужны -- ты будто первый, кто спросил за четыре года
хотя бы о тестовых.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Подробная информация о списке рассылки Devel