Autor Tema: Instalador HDD UEFI  (Leído 67764 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #100 en: 10-09-2016, 18:16 (Sábado) »
si windows usa GPT , no pueden ser de otra forma.

el grub installer que hay en el git, ya lo exige asi ... sino es FAT32 ] GTP se sale.  8)



teik

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #101 en: 10-09-2016, 21:33 (Sábado) »
si windows usa GPT , no pueden ser de otra forma.

el grub installer que hay en el git, ya lo exige asi ... sino es FAT32 ] GTP se sale.  8)
Ya tengo ganas de meterle mano para instalar, jejej despues de todo lo que habeis batallado se ha conseguido. Felicitaciones a los dos que os habeis dado el curro de probar una tras otra.
Saludos

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #102 en: 10-09-2016, 21:39 (Sábado) »
si windows usa GPT , no pueden ser de otra forma.

el grub installer que hay en el git, ya lo exige asi ... sino es FAT32 ] GTP se sale.  8)
Ya tengo ganas de meterle mano para instalar, jejej despues de todo lo que habeis batallado se ha conseguido. Felicitaciones a los dos que os habeis dado el curro de probar una tras otra.
Saludos

pues la que subi esta mañana ya lo lleva...

pero ojito , no se donde vas a cacharrear ,pero facil que pierdas lo que haya en el hdd , .. si es una tablet y formateas el hdd olvidate del recovery para volver a fabrica.

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #103 en: 10-09-2016, 21:41 (Sábado) »
voy a compilar varios kernels , con configs distintas.

1 - slackware ,pero kernel huge
2 - una basada en el kernel de xubuntu 64 (la version mas nueva de su pagina)
3 - una basada en algun config de archlinux

para mañana batallar en vmware , ... no me cuadra que todas las putas distros vayan perfectamente con maquinas virtuales, y slackware este dando guerra ,por que nuestra config como dije es 99 slackware kernel "generic"

teik

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #104 en: 10-09-2016, 22:39 (Sábado) »
si windows usa GPT , no pueden ser de otra forma.

el grub installer que hay en el git, ya lo exige asi ... sino es FAT32 ] GTP se sale.  8)
Ya tengo ganas de meterle mano para instalar, jejej despues de todo lo que habeis batallado se ha conseguido. Felicitaciones a los dos que os habeis dado el curro de probar una tras otra.
Saludos

pues la que subi esta mañana ya lo lleva...

pero ojito , no se donde vas a cacharrear ,pero facil que pierdas lo que haya en el hdd , .. si es una tablet y formateas el hdd olvidate del recovery para volver a fabrica.
Si si el recovery lo perdi el segundo dia de comprarla jjeje ya contare porque no se si mañana podre pero ya comentare por aqui.

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #105 en: 10-09-2016, 22:53 (Sábado) »
RECUERDA

crear tabla de particiones "GPT"
primero la particion UEFI

/dev/sda1 --> fat32 CLICK DERECHO , gestionar opciones y marcar boot + esp

y ya despues la particion ext4 donde ira a parar wifislax.

teik

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #106 en: 10-09-2016, 23:30 (Sábado) »
RECUERDA

crear tabla de particiones "GPT"
primero la particion UEFI

/dev/sda1 --> fat32 CLICK DERECHO , gestionar opciones y marcar boot + esp

y ya despues la particion ext4 donde ira a parar wifislax.

Una sugerencia, cuando detecta que esta en modo GPT y UEFI, en cuyo caso se supone que hay particion UEFI, por que no dejais una opcion directamente en la instalacion para ubicarla a la que ya tenemos de windows? y asi no se nos pasa a quien instalemos en HDD? y despues la particion ext4 para el resto... asi seria mas sencillo.

vk496

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #107 en: 10-09-2016, 23:40 (Sábado) »
Bueno, ya estoy de vuelta. Lo que ayer conseguí es usar GummiBoot (un cargador al estilo Grub) con el PreLoader.

PreLoader es un "cargador" que lo unico que hace es lanzar el loader.efi que tenga en su misma carpeta. Este cargador está firmado por Microsoft, por lo que puede lanzarse desde SecureBoot. Solo tiene UNA pega:

El cargador usa un subsistema de seguridad (al igual que shim), lo que permite que SecureBoot confie en él. A diferencia de Shim (que usa firmas criptográficas), PreLoader guarda el Hash del binario que vamos a ejecutar. Debido a eso, la primera vez que lanzais un binario, te salta un aviso de que aun no se fía, y lanza automaticamente HashTool.efi. Siguiendo el simple menú del HashTool.efi, podemos hacer un "enroll" de nuestro binario (loader.efi) y salimos.

Con esto, tenemos Wifislax rulando con SecureBoot.

No conseguí usar shim aun, pero se supone que con shim no hay intervención del usuario. Aunque, si no lo entendí mal, con shim se tiene que firmar el kernel para que pueda ser arrancado.

LO DE HOY:

No estoy seguro, pero parece ser que no es necesario el GummiBoot. El último commit está pensado para que el SecureBoot funcione con GRUB. Si no funcionase, para obtener la del Gummiboot, teneis que hacer clone y resetear a coomit anterior de la siguiente manera:

Código: [Seleccionar]
git clone https://github.com/wifislax-ng/instaladorHDD
cd instaladorHDD
git reset --hard b11cdf76b9092ebc41ccfbb26549e5f2cf3de8a6

Una cosa mas:

Ahora mismo, hay un promt que te pregunta si quieres SecureBoot o normal. @USUARIONUEVO, si me metes el programa fwts, se podría detectar si el SecureBoot está activado o no tal como hacen aquí (https://wiki.ubuntu.com/SecurityTeam/SecureBoot)

No he encontado otra forma de detectar el Secure Boot desde el sistema.

Salu2

vk496

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #108 en: 10-09-2016, 23:43 (Sábado) »
RECUERDA

crear tabla de particiones "GPT"
primero la particion UEFI

/dev/sda1 --> fat32 CLICK DERECHO , gestionar opciones y marcar boot + esp

y ya despues la particion ext4 donde ira a parar wifislax.

Una sugerencia, cuando detecta que esta en modo GPT y UEFI, en cuyo caso se supone que hay particion UEFI, por que no dejais una opcion directamente en la instalacion para ubicarla a la que ya tenemos de windows? y asi no se nos pasa a quien instalemos en HDD? y despues la particion ext4 para el resto... asi seria mas sencillo.

Partición UEFI solo hay una (se supone). El instalador la busca e instala ahí. De lo contrario, se sale. No necesitas ubicarla.

Salu2

teik

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #109 en: 11-09-2016, 00:31 (Domingo) »
RECUERDA

crear tabla de particiones "GPT"
primero la particion UEFI

/dev/sda1 --> fat32 CLICK DERECHO , gestionar opciones y marcar boot + esp

y ya despues la particion ext4 donde ira a parar wifislax.

Una sugerencia, cuando detecta que esta en modo GPT y UEFI, en cuyo caso se supone que hay particion UEFI, por que no dejais una opcion directamente en la instalacion para ubicarla a la que ya tenemos de windows? y asi no se nos pasa a quien instalemos en HDD? y despues la particion ext4 para el resto... asi seria mas sencillo.

Partición UEFI solo hay una (se supone). El instalador la busca e instala ahí. De lo contrario, se sale. No necesitas ubicarla.

Salu2
A es cierto, que ya le estaba yo dando mas vueltas de las necesarias jajja

vk496

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #110 en: 11-09-2016, 15:20 (Domingo) »
Parece que voy entendiendo poco a poco el tema del SecureBoot..

Los firmware UEFI llevan dentro suya certificados, en la db. Normalmente, van 3 certificados:

-Microsoft
-Microsoft Software de Terceros
-Fabricante placa base

Shim y PreLoader están firmados con la clave de Microsoft Software de Terceros. Ahora bien, para que se pueda confiar en ellos, se usa "otro" sistema de claves por encima, llamado MOK, que en esencia, es lo mismo que las firmas del frmware UEFI.

La gracia está en que con MOK, se puede añadir no solo certificados, si no también hashes de binarios. Según pone en Internet, uses uno u otro, tiene que haber iteración del usuario (al menos la primera vez), sin embargo, yo no recuerdo ningún tipo de iteración cuando instalé Ubuntu.

Tanto Shim como PreLoader lo único que hacen es lanzar otro programa, nada mas.

Explico como funcionan los dos métodos:

SHIM:

Shim usa certificados. Para hacerlo funcionar, es necesario generar una certificado (sistema asimétrico, conjunto de claves públicas y privadas). Una vez generadas, usamos la llave privada (esta es secreta, solo para nosotros) para firmar los binarios (si, se firman después de ser compilados). Es necesario firmar tanto el GRUB, como el kernel (y creo que los modulos tmbn).

Tras tener nuestros binarios firmados, insertamos la llave pública en el MOK. Tras reiniciar el PC, no preguntará una interfaz si queremos insertar la llave pública, le damos que si, y podremos arrancar Wifislax sin problemas.

Cuando se arranca, lo que sucede es:

La clave de Microsoft 3th Party Software confía en Shim. Shim confía en la clave pública que tenemos en el MOK, por lo que ejecuta GRUB. GRUB ejecuta un kernel que también está firmado por una clave que tenemos en el MOK, por lo que arranca el kernel.

Ahora bien, yo no recuerdo que durante la instalación de Ubuntu 16.04 me preguntasen por instalar la clave de Canonical. Puede que no tuviese el SecureBoot activado, pero aun así, creo que te lo preguntan igual (Es posible que la clave de Canonical viniese en mi MOK por defecto¿?)

PreLoader:


Exactamente igual que el anterior, pero en vez de insertar en la MOK un certificado, se inserta el Hash del binario que vamos a lanzar. Es decir, confiamos en el binario, y no tenemos que firmar ni confiar en nada mas (a efectos prácticos, confías en el GRUB, y este lanzará cualquier cosa que se deje).



Para ver las claves que tenemos en el MOK, lo hacemos con:

Código: [Seleccionar]
vk496@vk496-C16B:~$ mokutil --list-enrolled
[key 1]
  [SHA-256]
  bf6d7fa8531667e220b923e93ef428b25468effa7cb908c903549d165edb277a

[key 2]
SHA1 Fingerprint: 76:a0:92:06:58:00:bf:37:69:01:c3:72:cd:55:a9:0e:1f:de:d2:e0
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 13348991040521802343 (0xb94124a0182c9267)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=GB, ST=Isle of Man, L=Douglas, O=Canonical Ltd., CN=Canonical Ltd. Master Certificate Authority
        Validity
            Not Before: Apr 12 11:12:51 2012 GMT
            Not After : Apr 11 11:12:51 2042 GMT
        Subject: C=GB, ST=Isle of Man, L=Douglas, O=Canonical Ltd., CN=Canonical Ltd. Master Certificate Authority
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:bf:5b:3a:16:74:ee:21:5d:ae:61:ed:9d:56:ac:
                    bd:de:de:72:f3:dd:7e:2d:4c:62:0f:ac:c0:6d:48:
                    08:11:cf:8d:8b:fb:61:1f:27:cc:11:6e:d9:55:3d:
                    39:54:eb:40:3b:b1:bb:e2:85:34:79:ca:f7:7b:bf:
                    ba:7a:c8:10:2d:19:7d:ad:59:cf:a6:d4:e9:4e:0f:
                    da:ae:52:ea:4c:9e:90:ce:c6:99:0d:4e:67:65:78:
                    5d:f9:d1:d5:38:4a:4a:7a:8f:93:9c:7f:1a:a3:85:
                    db:ce:fa:8b:f7:c2:a2:21:2d:9b:54:41:35:10:57:
                    13:8d:6c:bc:29:06:50:4a:7e:ea:99:a9:68:a7:3b:
                    c7:07:1b:32:9e:a0:19:87:0e:79:bb:68:99:2d:7e:
                    93:52:e5:f6:eb:c9:9b:f9:2b:ed:b8:68:49:bc:d9:
                    95:50:40:5b:c5:b2:71:aa:eb:5c:57:de:71:f9:40:
                    0a:dd:5b:ac:1e:84:2d:50:1a:52:d6:e1:f3:6b:6e:
                    90:64:4f:5b:b4:eb:20:e4:61:10:da:5a:f0:ea:e4:
                    42:d7:01:c4:fe:21:1f:d9:b9:c0:54:95:42:81:52:
                    72:1f:49:64:7a:c8:6c:24:f1:08:70:0b:4d:a5:a0:
                    32:d1:a0:1c:57:a8:4d:e3:af:a5:8e:05:05:3e:10:
                    43:a1
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                AD:91:99:0B:C2:2A:B1:F5:17:04:8C:23:B6:65:5A:26:8E:34:5A:63
            X509v3 Authority Key Identifier:
                keyid:AD:91:99:0B:C2:2A:B1:F5:17:04:8C:23:B6:65:5A:26:8E:34:5A:63

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage:
                Digital Signature, Certificate Sign, CRL Sign
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://www.canonical.com/secure-boot-master-ca.crl

    Signature Algorithm: sha256WithRSAEncryption
         3f:7d:f6:76:a5:b3:83:b4:2b:7a:d0:6d:52:1a:03:83:c4:12:
         a7:50:9c:47:92:cc:c0:94:77:82:d2:ae:57:b3:99:04:f5:32:
         3a:c6:55:1d:07:db:12:a9:56:fa:d8:d4:76:20:eb:e4:c3:51:
         db:9a:5c:9c:92:3f:18:73:da:94:6a:a1:99:38:8c:a4:88:6d:
         c1:fc:39:71:d0:74:76:16:03:3e:56:23:35:d5:55:47:5b:1a:
         1d:41:c2:d3:12:4c:dc:ff:ae:0a:92:9c:62:0a:17:01:9c:73:
         e0:5e:b1:fd:bc:d6:b5:19:11:7a:7e:cd:3e:03:7e:66:db:5b:
         a8:c9:39:48:51:ff:53:e1:9c:31:53:91:1b:3b:10:75:03:17:
         ba:e6:81:02:80:94:70:4c:46:b7:94:b0:3d:15:cd:1f:8e:02:
         e0:68:02:8f:fb:f9:47:1d:7d:a2:01:c6:07:51:c4:9a:cc:ed:
         dd:cf:a3:5d:ed:92:bb:be:d1:fd:e6:ec:1f:33:51:73:04:be:
         3c:72:b0:7d:08:f8:01:ff:98:7d:cb:9c:e0:69:39:77:25:47:
         71:88:b1:8d:27:a5:2e:a8:f7:3f:5f:80:69:97:3e:a9:f4:99:
         14:db:ce:03:0e:0b:66:c4:1c:6d:bd:b8:27:77:c1:42:94:bd:
         fc:6a:0a:bc

Tengo dos keys: Key1 es el Hash de un binario (el grub de Wifislax) y la Key2 es el certificado de Canonical (Ubuntu).

me inquieta mucho la Key1, puesto que no entiendo como se genera ese SHA256 (http://askubuntu.com/questions/823508/how-hashtool-calculate-sha256-hash-of-a-file)

La ventaja que tiene el PreLoader es que es mas simple: añades el hash y listo. El problema es que el usuario tendría que añadir tanto el GRUB del HDD como el cargador de la Live (son binarios disitntos). Además, si nos diese por actualizar el GRUB, se tendría que hacer el proceso nuevamente.

Por lo contrario, con Shim, la desventaja que tiene es el engorro de andar con claves criptográficas. Sin embargo, con instalar una vez la clave, sería suficiente. Tanto el Live como el HDD o cualquier cosa, estaría firmado siempre por la misma clave.

Personalmente, veo mas limpio hacerlo con shim.

Aquí termina mi informe  ;D ;D

Salu2

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #111 en: 11-09-2016, 20:07 (Domingo) »
shim

vk496

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #112 en: 11-09-2016, 20:30 (Domingo) »
He descubierto como calcula HashTool el SHA256 de un binario.

Lo que hace es eliminar la firma del binario, y luego calcular su SHA256. Se puede obtener así:

Código: [Seleccionar]
root@vk496-C16B:/boot/efi/EFI/Wifislax64# hash-to-efi-sig-list loader.efi efi-signature-list
HASH IS c7e334d7f5e4617bd9c2e8c3f41811726b3458e5bd3217c8dc0f8ef615bab3ff

Salu2

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #113 en: 11-09-2016, 20:33 (Domingo) »
ok ,perdona si parece que "no estoy" , pero me he encabronado con el tema de las maquinas virtuales , por ejemplo slackware y por ende wifislax, no arrancan en virtualbox EFI , en el modo normal si , mientras todas las demas distros arrancan sin problemas ...huele a bug en slackware ,pero no se donde.  ;)

Tambien quiero ver si arreglo lo de SCSI + UEFI

vk496

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #114 en: 11-09-2016, 20:51 (Domingo) »
ok ,perdona si parece que "no estoy" , pero me he encabronado con el tema de las maquinas virtuales , por ejemplo slackware y por ende wifislax, no arrancan en virtualbox EFI , en el modo normal si , mientras todas las demas distros arrancan sin problemas ...huele a bug en slackware ,pero no se donde.  ;)

Tambien quiero ver si arreglo lo de SCSI + UEFI

np. Por mi parte, estaré algo mas liado estos días. Seguiré leyendo aunque no conteste

Salu2
« Última modificación: 11-09-2016, 20:51 (Domingo) por vk496 »

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #115 en: 11-09-2016, 20:51 (Domingo) »
bueno ,pues ya he arreglado algo ..

ya puede arrancar la iso en virtualbox+UEFI , manda raviolli, añadirle el driver  xorg-video-fbdev  ;D

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #116 en: 11-09-2016, 21:24 (Domingo) »
@vk496

¿sigues necesitando esto?  --> fwts

puedo metrlo en iso para mañana.


me asalta la duda ,por que eso estara una vez ya dentro del sistema, pero si no pasa el secure boot ...¿o es para el instalador al hdd ?


-----------------------

si quieres compilarlo....


Código: [Seleccionar]
libtoolize --force
aclocal
autoheader
automake --force-missing --add-missing
autoconf
./configure --prefix=/usr --sysconfdir=/etc
make
make install

o bien si quieres que se instale + modulo xzm

Código: [Seleccionar]
libtoolize --force
aclocal
autoheader
automake --force-missing --add-missing
autoconf

y despues


Código: [Seleccionar]
makefast xzm
« Última modificación: 11-09-2016, 21:26 (Domingo) por USUARIONUEVO »

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #117 en: 11-09-2016, 21:28 (Domingo) »
makefast es un script de la casa que hace un modulo xzm rapidamente sin mas ..el configura ,compila e instala y genera xzm.

es para cosas faciles y pruebas rapidas..

vk496

  • Visitante
Re: Instalador HDD UEFI
« Respuesta #118 en: 11-09-2016, 21:39 (Domingo) »
@vk496

¿sigues necesitando esto?  --> fwts

puedo metrlo en iso para mañana.


me asalta la duda ,por que eso estara una vez ya dentro del sistema, pero si no pasa el secure boot ...¿o es para el instalador al hdd ?


-----------------------

si quieres compilarlo....


Código: [Seleccionar]
libtoolize --force
aclocal
autoheader
automake --force-missing --add-missing
autoconf
./configure --prefix=/usr --sysconfdir=/etc
make
make install

o bien si quieres que se instale + modulo xzm

Código: [Seleccionar]
libtoolize --force
aclocal
autoheader
automake --force-missing --add-missing
autoconf

y despues


Código: [Seleccionar]
makefast xzm

Es para el instalador HDD. Aunque descubrí que mokutil tmbn tiene una opción para ver si es SecureBoot. De hecho, el mokutil hará falta. Bueno, hace falta mas de una cosa si queremos tener SecureBoot en la distro:

openssl
mokutil
sbsigntool

Salu2

Desconectado USUARIONUEVO

  • Moderador
  • *
  • Mensajes: 14480
Re: Instalador HDD UEFI
« Respuesta #119 en: 11-09-2016, 21:49 (Domingo) »
openssl esta...

¿quieres que añada estas ? --> mokutil + sbsigntool
« Última modificación: 11-09-2016, 21:50 (Domingo) por USUARIONUEVO »