#archlinux-cn
!YkBCOsxHJvtzDSJCGa:nichi.co
5,976 messages · Page 37 of 60
* 后端热修呗
服务器热修呗
人家不能修么
我记得以前玩过tpm签名 现在文档找不到了
可以用 ukify inspect dump
[m.image] Pasted image.png
我这里 public key 签了如下东西:
为啥那个漏洞我复现不出来发送`命令`.pdf会发送失败发送`123`.pdf就发送成功
[m.image] image.jpeg
Windows 下 pcr 11 的确是BitLocker 访问控制
[m.image] image.jpeg
Pubkey 是 sign PCR policies 的)
可以签名的吧,绑定到特定公钥
这怎么签名, PCR 它就是个数值而已啊
至于firmware本身的安全问题就不是我们能管的了(
哦不对,我们可以假设 archiso 中的内核是安全的,只会提供正确的 PCR 11。而 archiso 以外的 efi 执行文件不会被加载(缺乏签名)
[m.image] image.jpeg
所以要整个trust chain才行,很麻烦,故而我不想搞这个
可以,所以安全启动是基础
而且安全启动也会拦住恶意 efi 吧
UKI 里的 measurement 可以用 pcr public key 签名来着
* 我看了下 wiki,PCR 11 是 systemd-stub 提供的
假设有个带签名的恶意efi文件被启动了,它是否可以伪造PCR 11🤔
那它是如何保证不可伪造的🤔
至少看一眼 https://uapi-group.org/specifications/specs/linux_tpm_pcr_registry/
我看了下 wiki,PCR 11 是systemd-stub 提供的
那个是 tpm 内置的
而且不同的 boot phase 都可以 measure
8 以后的操作系统使用的,你不能把 windows 的用法直接套用过来
所有组件 hash 组合起来
不是啊... 那是绑定 UKI 的各个 component
grub 好像妹实现 pcr8 无论如何都是空的
有说 systemd-boot 计划实现 不知道实现妹
你可以绑定
PCR8 内核启动参数
你内核启动参数没变能自动解锁 变了就必须手动输入密码了
archiso 和 你自己系统启动参数一般不一样
PCR11是绑定efi文件hash吧
pcr11 是 BitLocker 访问控制
pcr7 才是安全启动
那带上 `--tpm2-public-key-pcrs=11` 就好
主要是 PCR11 变化之后,我需要重新跑 systemd-cryptenroll
让 ukify 负责签名和 measure
比如这样:
```
[UKI]
SecureBootSigningTool=systemd-sbsign
SecureBootPrivateKey=/var/lib/sbctl/keys/db/db.key
SecureBootCertificate=/var/lib/sbctl/keys/db/db.pem
SignKernel=yes
Cmdline="@/etc/kernel/cmdline"
[PCRSignature:system]
PCRPrivateKey=/var/lib/moeOS/TPM-Keys/Private.pem
PCRPublicKey=/var/lib/moeOS/TPM-Keys/Public.pem
```
这个不是关键吧,我现在用的就是 uki
那你要 mask 掉 sbctl 的 hooks, 然后配置 `/etc/kernel/uki.conf`
開了這半小時我點了3個reject,比剛剛的頻率低了好多
mkinitcpio + sbctl
我忘记为什么丢掉 mkinitcpio 了
mkinitcpio 不是已经支持 ukify 了么
用 pcr public key 的话就不需要每次更新 measure 值, 正常更新内核再重新生成 uki
sbctl 自带hook
tpm 解谜用systemd就行
* 我之前用 kernel-install 呼叫 dracut + ukify 弄了套 functional 的系统
我之前用 dracut + ukify 弄了套 functional 的系统
你用的是什么, kernel-install?
有的会点,不过也只是堵在加入请求那儿
你可以用 initramfs 的busybox 的 可以设置验证root密码
有道理,不过我需要研究一下怎么写hook,保证在内核更新的时候能正常update
有可能)
* 目測請求也明顯變少了…是不是這幫 spammer 只會點邀請鏈接還不會點 apply (
目測請求也明顯變少了…是不是這幫 spammer 只會點邀請還不會點 apply (
解密绑定 PCR11 就行
* 是不是只需要保证签名过的 archiso 和私钥一样不 leak 就好了
是不是只需要保证签名过的archiso 版本和私钥一样不 leak 就好了
直接签名相当于自己给自己开放一个可以随意sideload的小门了,整个security boot也就不存在了
要么加前置验证要么就需要阻断TPM
* 这里的问题是,不能直接给archiso签名。因为那是个直接开放终端的环境
* 这里的问题是,不能直接给archiso前面。因为那是个直接开放终端的环境
这个的问题是,不能直接给archiso前面。因为那是个直接开放终端的环境
是不是还得让 bot 自动拒绝不在 channel 里的用户的请求...
当然是自己manage
niri
我猜niri
这是什么桌面
关掉 tg 重开应该就好了?
发生什么事了
[m.image] image.jpeg
之前的聊天记录都没了?
什么情况
不是 bot 反应不过来,是 Telegram 反应不过来
spammer 多到 bot 反应不过来了)
要关门了吗
你曾是神明因罪行降临凡间经你之手写下的诗将是你在善见天的记忆
就算把这群archive,也不能取消链接
[m.image] image.jpeg
噢。。。
https://t.me/archlinuxcn_group/3698800 這樣的鏈接就不好用了
* 就是用 @archlinuxcn 作为对外链接
@archlinuxcn_group 这个链接放弃掉
然后 @archlinuxcn 上公布邀请链接
就是维持 @archlinuxcn 作为对外链接
那样链接就不好用了
你一转他们就把ID抢了👍
要不要转为私密群,让外面那个channel作为公开的入口
能開,我開了,看看效果
刚才几分钟内有近三百个用户加群……
* 感觉是客户端 get_messages 返回空于是就以为群里没消息了,没想到是原本要返回的消息全被删掉了
感觉是客户端 get_messages 返回空于是就以为群里没消息的,没想到是原本要返回的消息全被删掉了
不知道啊
是不是要 @farseerfc 才能操作)
-meta 行那本群也应该行?