點(diǎn)擊查看DOIT直播專題

在11日下午的分會(huì)場(chǎng)中，英特爾軟件架構(gòu)師龍勤做了《UEFI固件增強(qiáng)Linux安全性并帶來(lái)全新優(yōu)勢(shì)》的技術(shù)課程報(bào)告，課程演講中主要介紹了針對(duì)Linux的UEFI注意事項(xiàng)，針對(duì)企業(yè)系統(tǒng)的安全啟動(dòng)，以及安全啟動(dòng)的實(shí)現(xiàn)與工具。

越來(lái)越多惡意軟件開(kāi)始以啟動(dòng)路徑為攻擊目標(biāo)，通常情況下，唯一的解決辦法是重新安裝操作系統(tǒng)，啟動(dòng)過(guò)程中，所有的固件和軟件必須由可信的證書(shū)權(quán)威進(jìn)行簽名，利用固件策略對(duì)OS加載程序、Option Cards等進(jìn)行驗(yàn)證，為用戶提供一種組織外部入侵的系統(tǒng)保護(hù)方式。

用戶可以通過(guò)金庸UEFI安全啟動(dòng)Linux的安裝，但這并非最佳部署方案，當(dāng)其他操作系統(tǒng)已經(jīng)啟用UEFI安全啟動(dòng)時(shí)，用戶必須有一個(gè)其他方案繼續(xù)安全Linux.。

如果滿足下列條件，Linux亦可收益于UEFI安全啟動(dòng)技術(shù)

1. 客戶能夠在無(wú)需金庸該功能情況下安裝Linux

2. 平臺(tái)所有者能夠設(shè)置安全策略并定制系統(tǒng)

企業(yè)已經(jīng)準(zhǔn)備好安全啟動(dòng)技術(shù)

UEFI啟動(dòng)針對(duì)企業(yè)用戶，具有諸多優(yōu)勢(shì)，可支持大容量磁盤(pán)，支持復(fù)雜的分區(qū)結(jié)構(gòu)，包括IPv6的內(nèi)的豐富的網(wǎng)絡(luò)支持，更好地支持PXE預(yù)裝和iSCSI啟動(dòng)，更好的錯(cuò)誤報(bào)告與管理工具。

強(qiáng)化系統(tǒng)啟動(dòng)的好處是明顯的，但是，要記住，一個(gè)具有足夠安全性保護(hù)，可信賴的企業(yè)用戶產(chǎn)品，從固件開(kāi)始一直延續(xù)到Linux的啟動(dòng)過(guò)程中，都需要選擇有限考慮安全性的合作伙伴。

UEFI提供一個(gè)針對(duì)固件更新的UpdateCapsule接口，期待OS廠商在2013年增加這一重要功能，內(nèi)嵌與Linux,用戶不必自行編譯。也期待針對(duì)UEFI擴(kuò)展卡進(jìn)行國(guó)建更新的工具。

UEFI/安全啟動(dòng)實(shí)現(xiàn)

UEFI安全啟動(dòng)使啟動(dòng)過(guò)程更安全，針對(duì)UEFI安全啟動(dòng)，生態(tài)系統(tǒng)已然就緒，基于已有的不同方案，Linux發(fā)行版必須確定如何實(shí)現(xiàn)安全啟動(dòng)，Ubuntu支持UEFI安全啟動(dòng)，同時(shí)還提供支持自動(dòng)化固件測(cè)試的FWTS套件。