問題陳述
假設您購買了一台帶有新光面 USB-C 擴展塢的新筆記本電腦。安裝新的 Fedora 並加密您的硬盤。由於筆記本電腦是旅行設備,因此不希望攜帶未加密的硬盤驅動器旅行。我想完成安裝,因為我有外接顯示器,關上蓋子,重新啟動機器,最後使用通過USB 2.0連接到USB-C擴展塢的外接鍵盤輸入LUKS密碼,但功能我不會。
鍵盤完全沒有反應。打開蓋子並嘗試內置鍵盤,它工作正常。當機器啟動時,外接鍵盤也將正常工作。問題是什麼?
無論如何,這個 Thunderbolt 是什麼,為什麼有人想要它?
Thunderbolt 是一種硬件接口,用於連接顯示器和外部網卡等外圍設備。 [1] 連顯卡 [1]..物理連接器與 USB-C 相同,但通常在端口旁邊有一個帶有小閃電的標籤,以區分“普通”USB-C 端口和 Thunderbolt 端口。
當然,有非常快的傳輸速率來支持這些要求苛刻的外圍設備,但它們也帶來了一定的安全風險。為了實現這些傳輸速率,Thunderbolt 對外圍設備使用直接內存訪問 (DMA)。顧名思義,這種方法允許外部設備直接讀取和寫入內存,而無需與正在運行的操作系統進行通信。
我想你已經可以在這裡找到問題了。如果一個陌生人在我的筆記本電腦上漫遊(即使屏幕被鎖定),是否真的可以連接設備並讀取計算機內存中的內容?讓我更詳細地解釋一下。
面向用戶的 Thunderbolt 安全解決方案
在最近的版本中,Gnome 設置包括一個 Thunderbolt 設備配置選項卡。您可以在外部設備上啟用或禁用 DMA 訪問並驗證設備的身份。
Bolt 是負責管理 Thunderbolt 設備的組件。有關詳細信息,請參閱螺栓人 8。
命令行工具
當然,您也可以從命令行控制它。 我們建議閱讀 man Boltctl 或直接檢查上游存儲庫。 https://gitlab.freedesktop.org/bolt/bolt
預啟動支持——鍵盤問題的解決方案
在預引導環境中,情況略有不同。負責設備身份驗證的用戶空間服務尚未運行,因此如果您允許設備,則固件必須對其進行操作。要啟用此功能,請轉到 BIOS 並查找“在預引導環境中支持”。例如,在聯想筆記本電腦上:
啟用此功能後,Volt 會將經過身份驗證的設備添加到授權設備列表中。下次啟動機器時,您將能夠使用外接鍵盤。
運行 Boltctl 並找到“bootacl”。確保您的設備包含在允許的設備列表中。
還要注意“安全:安全”這一行。 如果您看到類似“安全性:用戶”的內容,最好重新配置您的 BIOS。
預啟動支持的技術細節
該解決方案具有令人遺憾的技術細節。 Thunderbolt 支持不同級別的安全性。 如果您正在運行 Fedora,請使用“安全”級別來確保設備實際上是您聲稱的設備,使用主機生成並存儲在設備上的 per-device 密鑰。建議檢查。另一方面,固件僅使用“用戶”級別,該級別使用設備提供的簡單 UUID。不同之處在於,惡意設備可以通過提供與合法設備相同的 UUID 來聲稱是另一台設備。無論如何這都不是問題,因為內存還沒有包含任何敏感數據。
您可以在此博客文章中找到技術細節: https://christian.kellner.me/2019/02/11/thunderbolt-preboot-access-control-list-support-in-bolt/
結論是
如您所見,最新的 Fedora 版本的解決方案是 BIOS 中的一個簡單開關。因此,如果您的筆記本電腦在啟動時仍處於開機狀態,請對其進行配置,以便您無需再次運行它。同時 檢查默認安全級別是否為“安全” 而不是“用戶” [5]..
醬:
[2] https://christian.kellner.me/2019/02/11/thunderbolt-preboot-access-control-list-support-in-bolt/
[3] https://gitlab.freedesktop.org/bolt/bolt
[4] https://wiki.gnome.org/Design/Whiteboards/ThunderboltAccess
[5] https://christian.kellner.me/2019/02/27/thunderclap-and-linux/
