點擊查看DOIT直播專題

在11日下午的分會場中，英特爾軟件架構(gòu)師龍勤做了《UEFI固件增強Linux安全性并帶來全新優(yōu)勢》的技術(shù)課程報告，課程演講中主要介紹了針對Linux的UEFI注意事項，針對企業(yè)系統(tǒng)的安全啟動，以及安全啟動的實現(xiàn)與工具。

越來越多惡意軟件開始以啟動路徑為攻擊目標(biāo)，通常情況下，唯一的解決辦法是重新安裝操作系統(tǒng)，啟動過程中，所有的固件和軟件必須由可信的證書權(quán)威進(jìn)行簽名，利用固件策略對OS加載程序、Option Cards等進(jìn)行驗證，為用戶提供一種組織外部入侵的系統(tǒng)保護(hù)方式。

用戶可以通過金庸UEFI安全啟動Linux的安裝，但這并非最佳部署方案，當(dāng)其他操作系統(tǒng)已經(jīng)啟用UEFI安全啟動時，用戶必須有一個其他方案繼續(xù)安全Linux.。

如果滿足下列條件，Linux亦可收益于UEFI安全啟動技術(shù)

1. 客戶能夠在無需金庸該功能情況下安裝Linux

2. 平臺所有者能夠設(shè)置安全策略并定制系統(tǒng)

企業(yè)已經(jīng)準(zhǔn)備好安全啟動技術(shù)

UEFI啟動針對企業(yè)用戶，具有諸多優(yōu)勢，可支持大容量磁盤，支持復(fù)雜的分區(qū)結(jié)構(gòu)，包括IPv6的內(nèi)的豐富的網(wǎng)絡(luò)支持，更好地支持PXE預(yù)裝和iSCSI啟動，更好的錯誤報告與管理工具。

強化系統(tǒng)啟動的好處是明顯的，但是，要記住，一個具有足夠安全性保護(hù)，可信賴的企業(yè)用戶產(chǎn)品，從固件開始一直延續(xù)到Linux的啟動過程中，都需要選擇有限考慮安全性的合作伙伴。

UEFI提供一個針對固件更新的UpdateCapsule接口，期待OS廠商在2013年增加這一重要功能，內(nèi)嵌與Linux,用戶不必自行編譯。也期待針對UEFI擴(kuò)展卡進(jìn)行國建更新的工具。

UEFI/安全啟動實現(xiàn)

UEFI安全啟動使啟動過程更安全，針對UEFI安全啟動，生態(tài)系統(tǒng)已然就緒，基于已有的不同方案，Linux發(fā)行版必須確定如何實現(xiàn)安全啟動，Ubuntu支持UEFI安全啟動，同時還提供支持自動化固件測試的FWTS套件。