<![CDATA[Block of Vaz]]> https://blog.siamstr.com/tag/linux/ https://blog.siamstr.com/tag/linux/rss/ episodic Fri, 04 Apr 2025 08:42:17 GMT Fri, 04 Apr 2025 08:42:17 GMT <![CDATA[Block of Vaz]]> https://blog.siamstr.com/tag/linux/ https://image.nostr.build/ba269bb842d8e1c6ada4ea3f9203aa570f1610cceeaca6a35c281f28274a914a.jpg <![CDATA[ตั้งค่า Dark Theme สำหรับสาย Tilling Window Manager: darkman]]> Fri, 04 Apr 2025 08:42:17 GMT https://blog.siamstr.com/post/gg-5vprd4cvzvqxjswqvc/ https://blog.siamstr.com/post/gg-5vprd4cvzvqxjswqvc/ naddr1qq2kw3edx4m8qunyx33hvknk29vx5u6hw9myxq3qvaz88a5zhsqsrj220vh5vdnpjsu53msm34hzvcrh27x5d7zeav7qxpqqqp65wlw4t8u siamstr naddr1qq2kw3edx4m8qunyx33hvknk29vx5u6hw9myxq3qvaz88a5zhsqsrj220vh5vdnpjsu53msm34hzvcrh27x5d7zeav7qxpqqqp65wlw4t8u npub1vaz88a5zhsqsrj220vh5vdnpjsu53msm34hzvcrh27x5d7zeav7qm45t60 darkman คืออะไร

Darkman เป็นโปรแกรมที่ช่วยควบคุมการเปลี่ยนโหมดสีของเดสก์ท็อประหว่างโหมดมืดและโหมดสว่างบนระบบปฏิบัติการ Unix-like. โปรแกรมนี้จะทำงานในเบื้องหลัง(background process) และสามารถตั้งค่าให้เปลี่ยนไปใช้โหมดมืดเมื่อพระอาทิตย์ตก หรือเปลี่ยนกลับไปใช้โหมดสว่างเมื่อพระอาทิตย์ขึ้นได้

การทำงานของ Darkman

เรียกใช้ผ่าน systemd service หรือคำสั่ง darkman run โดยตรงได้เลย

  1. การตั้งค่าโหมด: Darkman สามารถตั้งค่าโหมดปัจจุบันเป็นโหมดมืดหรือโหมดสว่างได้ด้วยคำสั่ง darkman set <light|dark>.
  2. การตรวจสอบโหมดปัจจุบัน: สามารถตรวจสอบโหมดปัจจุบันได้ด้วยคำสั่ง darkman get.
  3. การสลับโหมด: สามารถสลับโหมดระหว่างโหมดมืดและโหมดสว่างได้ด้วยคำสั่ง darkman toggle.
  4. การทำงานอัตโนมัติ: Darkman จะทำงานอัตโนมัติโดยใช้ข้อมูลตำแหน่งที่ตั้งของระบบเพื่อกำหนดเวลาพระอาทิตย์ขึ้นและตก.
  5. การปรับแต่ง: สามารถเพิ่มสคริปต์เพื่อปรับแต่งการทำงานของโปรแกรมให้เข้ากับแอปพลิเคชันต่างๆ ได้.

การตั้งค่า darkman

  1. สร้างไฟล์ config.yaml ในโฟลเดอร์ ~/.config/darkman/
lat: 13.7563
lng: 100.5018 # ตำแหน่งกรุงเทพ
usegeoclue: false
dbusserver: true
portal: true
  1. การตั้งค่า portal สำหรับ Darkman

จะช่วยให้โปรแกรมสามารถเปลี่ยนโหมดสีของเดสก์ท็อปได้โดยใช้ XDG settings portal API.

2.1 สร้างไฟล์ portals.conf ในโฟลเดอร์ ~/.config/xdg-desktop-portal/

[preferred]
org.freedesktop.impl.portal.Settings=darkman

2.1 รีสตาร์ท service xdg-desktop-portal เพื่อให้การตั้งค่าใหม่มีผล:

systemctl --user restart xdg-desktop-portal

การตั้งค่านี้จะช่วยให้แอปพลิเคชันต่างๆ บนเดสก์ท็อปสามารถอ่านค่าโหมดสีจาก Darkman และปรับเปลี่ยนตามที่กำหนด.

  1. Custom executables

ใน Darkman สามารถเพิ่มการทำงานเพิ่มเติมเมื่อมีการเปลี่ยนโหมดสีของเดสก์ท็อป โดยการวางสคริปต์หรือโปรแกรมที่ต้องการในไดเรกทอรีที่กำหนด

ไดเรกทอรีสำหรับ Custom executables:

  • $XDG_DATA_DIRS/dark-mode.d/: สำหรับสคริปต์ที่ต้องการรันเมื่อเปลี่ยนไปใช้โหมดมืด
  • $XDG_DATA_DIRS/light-mode.d/: สำหรับสคริปต์ที่ต้องการรันเมื่อเปลี่ยนไปใช้โหมดสว่าง

ตัวอย่างการใช้งาน Custom executables:

  1. สร้างสคริปต์สำหรับโหมดมืด:
    • สร้างไฟล์ set_dark_mode.sh ในไดเรกทอรี $XDG_DATA_DIRS/dark-mode.d/
    • เพิ่มเนื้อหาดังนี้:
#!/bin/bash
# ตัวอย่างสคริปต์สำหรับโหมดมืด
gsettings set org.gnome.desktop.interface gtk-theme "Adwaita-dark"
notify-send "Dark Mode Activated"
  1. สร้างสคริปต์สำหรับโหมดสว่าง:
    • สร้างไฟล์ set_light_mode.sh ในไดเรกทอรี $XDG_DATA_DIRS/light-mode.d/
    • เพิ่มเนื้อหาดังนี้:
#!/bin/bash
# ตัวอย่างสคริปต์สำหรับโหมดสว่าง
gsettings set org.gnome.desktop.interface gtk-theme "Adwaita"
notify-send "Light Mode Activated"
  1. ตั้งค่าสิทธิ์การรันสคริปต์:
    • ตั้งค่าสิทธิ์ให้สคริปต์สามารถรันได้:
chmod +x $XDG_DATA_DIRS/dark-mode.d/set_dark_mode.sh
chmod +x $XDG_DATA_DIRS/light-mode.d/set_light_mode.sh

เมื่อ Darkman เปลี่ยนโหมด สคริปต์เหล่านี้จะถูกเรียกใช้งานตามที่กำหนด

การแก้ไขหากไม่พบ XDG_DATA_DIRS

หากไม่พบตัวแปร XDG_DATA_DIRS คุณสามารถสร้างไดเรกทอรีที่จำเป็นเองได้ตามต้องการ โดยปกติแล้ว XDG_DATA_DIRS จะประกอบด้วยไดเรกทอรีเหล่านี้:

  • ~/.local/share/
  • /usr/local/share/
  • /usr/share/

คุณสามารถสร้างไดเรกทอรีเหล่านี้และเพิ่มสคริปต์ของคุณได้ตามนี้:

  1. สร้างไดเรกทอรี:
    • สร้างไดเรกทอรีสำหรับโหมดมืดและโหมดสว่าง:
mkdir -p ~/.local/share/dark-mode.d
mkdir -p ~/.local/share/light-mode.d

ตัวอย่าง Script ที่ผมใช้

  1. ทำการ export XDG_DATA_DIRS:

โดยทั่วไปเราสามารถตั้งตัวแปร Environments ต่าง ๆ ได้ที่ ~/.profile และตัวแปรทั้งหมดจะถูกโหลดหลังจากเรา Login

export XDG_DATA_DIRS=$HOME/.local/share:/usr/local/share:/usr/share:$XDG_DATA_DIRS

Source: darkman

]]> darkman คืออะไร

Darkman เป็นโปรแกรมที่ช่วยควบคุมการเปลี่ยนโหมดสีของเดสก์ท็อประหว่างโหมดมืดและโหมดสว่างบนระบบปฏิบัติการ Unix-like. โปรแกรมนี้จะทำงานในเบื้องหลัง(background process) และสามารถตั้งค่าให้เปลี่ยนไปใช้โหมดมืดเมื่อพระอาทิตย์ตก หรือเปลี่ยนกลับไปใช้โหมดสว่างเมื่อพระอาทิตย์ขึ้นได้

การทำงานของ Darkman

เรียกใช้ผ่าน systemd service หรือคำสั่ง darkman run โดยตรงได้เลย

  1. การตั้งค่าโหมด: Darkman สามารถตั้งค่าโหมดปัจจุบันเป็นโหมดมืดหรือโหมดสว่างได้ด้วยคำสั่ง darkman set <light|dark>.
  2. การตรวจสอบโหมดปัจจุบัน: สามารถตรวจสอบโหมดปัจจุบันได้ด้วยคำสั่ง darkman get.
  3. การสลับโหมด: สามารถสลับโหมดระหว่างโหมดมืดและโหมดสว่างได้ด้วยคำสั่ง darkman toggle.
  4. การทำงานอัตโนมัติ: Darkman จะทำงานอัตโนมัติโดยใช้ข้อมูลตำแหน่งที่ตั้งของระบบเพื่อกำหนดเวลาพระอาทิตย์ขึ้นและตก.
  5. การปรับแต่ง: สามารถเพิ่มสคริปต์เพื่อปรับแต่งการทำงานของโปรแกรมให้เข้ากับแอปพลิเคชันต่างๆ ได้.

การตั้งค่า darkman

  1. สร้างไฟล์ config.yaml ในโฟลเดอร์ ~/.config/darkman/
lat: 13.7563
lng: 100.5018 # ตำแหน่งกรุงเทพ
usegeoclue: false
dbusserver: true
portal: true
  1. การตั้งค่า portal สำหรับ Darkman

จะช่วยให้โปรแกรมสามารถเปลี่ยนโหมดสีของเดสก์ท็อปได้โดยใช้ XDG settings portal API.

2.1 สร้างไฟล์ portals.conf ในโฟลเดอร์ ~/.config/xdg-desktop-portal/

[preferred]
org.freedesktop.impl.portal.Settings=darkman

2.1 รีสตาร์ท service xdg-desktop-portal เพื่อให้การตั้งค่าใหม่มีผล:

systemctl --user restart xdg-desktop-portal

การตั้งค่านี้จะช่วยให้แอปพลิเคชันต่างๆ บนเดสก์ท็อปสามารถอ่านค่าโหมดสีจาก Darkman และปรับเปลี่ยนตามที่กำหนด.

  1. Custom executables

ใน Darkman สามารถเพิ่มการทำงานเพิ่มเติมเมื่อมีการเปลี่ยนโหมดสีของเดสก์ท็อป โดยการวางสคริปต์หรือโปรแกรมที่ต้องการในไดเรกทอรีที่กำหนด

ไดเรกทอรีสำหรับ Custom executables:

  • $XDG_DATA_DIRS/dark-mode.d/: สำหรับสคริปต์ที่ต้องการรันเมื่อเปลี่ยนไปใช้โหมดมืด
  • $XDG_DATA_DIRS/light-mode.d/: สำหรับสคริปต์ที่ต้องการรันเมื่อเปลี่ยนไปใช้โหมดสว่าง

ตัวอย่างการใช้งาน Custom executables:

  1. สร้างสคริปต์สำหรับโหมดมืด:
    • สร้างไฟล์ set_dark_mode.sh ในไดเรกทอรี $XDG_DATA_DIRS/dark-mode.d/
    • เพิ่มเนื้อหาดังนี้:
#!/bin/bash
# ตัวอย่างสคริปต์สำหรับโหมดมืด
gsettings set org.gnome.desktop.interface gtk-theme "Adwaita-dark"
notify-send "Dark Mode Activated"
  1. สร้างสคริปต์สำหรับโหมดสว่าง:
    • สร้างไฟล์ set_light_mode.sh ในไดเรกทอรี $XDG_DATA_DIRS/light-mode.d/
    • เพิ่มเนื้อหาดังนี้:
#!/bin/bash
# ตัวอย่างสคริปต์สำหรับโหมดสว่าง
gsettings set org.gnome.desktop.interface gtk-theme "Adwaita"
notify-send "Light Mode Activated"
  1. ตั้งค่าสิทธิ์การรันสคริปต์:
    • ตั้งค่าสิทธิ์ให้สคริปต์สามารถรันได้:
chmod +x $XDG_DATA_DIRS/dark-mode.d/set_dark_mode.sh
chmod +x $XDG_DATA_DIRS/light-mode.d/set_light_mode.sh

เมื่อ Darkman เปลี่ยนโหมด สคริปต์เหล่านี้จะถูกเรียกใช้งานตามที่กำหนด

การแก้ไขหากไม่พบ XDG_DATA_DIRS

หากไม่พบตัวแปร XDG_DATA_DIRS คุณสามารถสร้างไดเรกทอรีที่จำเป็นเองได้ตามต้องการ โดยปกติแล้ว XDG_DATA_DIRS จะประกอบด้วยไดเรกทอรีเหล่านี้:

  • ~/.local/share/
  • /usr/local/share/
  • /usr/share/

คุณสามารถสร้างไดเรกทอรีเหล่านี้และเพิ่มสคริปต์ของคุณได้ตามนี้:

  1. สร้างไดเรกทอรี:
    • สร้างไดเรกทอรีสำหรับโหมดมืดและโหมดสว่าง:
mkdir -p ~/.local/share/dark-mode.d
mkdir -p ~/.local/share/light-mode.d

ตัวอย่าง Script ที่ผมใช้

  1. ทำการ export XDG_DATA_DIRS:

โดยทั่วไปเราสามารถตั้งตัวแปร Environments ต่าง ๆ ได้ที่ ~/.profile และตัวแปรทั้งหมดจะถูกโหลดหลังจากเรา Login

export XDG_DATA_DIRS=$HOME/.local/share:/usr/local/share:/usr/share:$XDG_DATA_DIRS

Source: darkman

]]> <![CDATA[มาทำ Secure Boot บน Linux กันเถอะ]]> Sun, 23 Jun 2024 10:15:02 GMT https://blog.siamstr.com/post/1klj6-rzdcev_jaakoli3/ https://blog.siamstr.com/post/1klj6-rzdcev_jaakoli3/ naddr1qq2nz66vdgmz65j6g33k2ajlffqkz660f35nxq3qvaz88a5zhsqsrj220vh5vdnpjsu53msm34hzvcrh27x5d7zeav7qxpqqqp65wvzj7x2 siamstr naddr1qq2nz66vdgmz65j6g33k2ajlffqkz660f35nxq3qvaz88a5zhsqsrj220vh5vdnpjsu53msm34hzvcrh27x5d7zeav7qxpqqqp65wvzj7x2 npub1vaz88a5zhsqsrj220vh5vdnpjsu53msm34hzvcrh27x5d7zeav7qm45t60 Secure Boot คืออะไร?

Secure Boot เป็นฟังก์ชั่นของระบบไบออส UEFI ที่ป้องกันการติดตั้งไฟล์ระบบที่ไม่ได้รับการอนุมัติจากผู้ผลิดเมนบอร์ด
โดยเมื่อระบบบูต, ไบออส UEFI จะตรวจหาลายเซ็นดิจิตอลในไฟล์บูตของระบบปฏิบัติการ
หากตรวจพบและเช็คความถูกต้องผ่านหมด ก็จะทำการบูตระบบปฏิบัติการนั้นขึ้นมา
แต่ถ้าไม่พบ, ไม่ถูกต้อง หรือลายเซ็นมาจากเจ้าที่ไม่รู้จัก ก็จะปฏิเสธการบูตระบบนั้น

ฟีเจอร์นี้มีไว้ในกรณีที่ระบบปฏิบัติการที่มีรูโหว่แล้วถูกไวรัสเขียนทับไฟล์ระบบที่ใช้บูต หรือถูกผู้อื่นเข้าถึงคอมของเราแล้ววางไฟล์บูตที่มีช่องโหว่ให้โจมตีได้
เมื่อผู้ใช้รีสตาร์ต ระบบจะหยุดทำงานที่จอดำเพื่อไม่ให้ไวรัสก่อความเสียหายเพิ่มเติม หรือถูกโจมตีระบบ

จำเป็นแค่ไหน?

หากว่าระบของเราไม่ได้เข้ารหัสแบบ Full-disk encryption แล้วนั้น ตัว secure boot ไม่ได้จำเป็น หรือไม่มีประโยชน์ใด ๆ เลย นอกจากให้ Microsoft บังคับห้ามเราลง ระบบประติบัติการที่เราต้องการเท่านั้น (ปิด secure boot ใน bios ก็สามารถเข้าระบบได้เลย)

แต่สำหรับระบบที่เข้ารหัสไว้นั้น จะช่วยเพิ่มความปลอดภัยไปอีกระดับ เช่นหากโดยขโมยคอมไป แม้เขาจะพยายามแก้ไขไฟล์ boot ก็ไม่สามารถเข้าถึงระบบเราได้อยู่ดี มีเดียวทางเดียวคือล้างข้อมูลทั้งหมดทิ้งไปเท่านั้น ถึงจะใช้งานคอมเครื่องนั้น ๆ ได้ แม้จะปิด secure boot ใน bios แล้วก็ตาม

ทำให้ระบบ Linux ที่เข้ารหัสไว้ ปลอดภัยขึ้นอีกชั้นนึง

Boot Loader

BIOS > BOOT LOADER > KERNEL > INIT SYSTEM

ในระบบประติบัติการ Linux นั้น มีตัวเลือกสำหรับ Boot Loader ที่หลากหลาย อย่างระบบใหม่ ๆ จะใช้ systemd-boot ที่สะดวกใช้งานง่าย ปรับอะไรได้ไม่มากนัก
โดยตัวที่ใช้เยอะที่สุดคงจะเป็น GRUB ซึ่งสามารถปรับแต่งได้แทบทุก logic ของการบูตเข้าระบบของเรา และในบทความนี้ เราจะใช้ GRUB ในการทำ Secure Boot

โดยก่อนหน้านั้นเราต้องแบ่ง partition ส่วนนึงไปให้ /boot/efi ซึ่งเป็น filesystem แบบ fat ทั่ว ๆ ไป สำหรับ ให้ bios อ่านไฟล์ boot ของเราได้

❯ sudo fdisk -l
Disk /dev/nvme0n1: 476.94 GiB, 512110190592 bytes, 1000215216 sectors
Disk model: WD PC SN735 SDBPNHH-512G-1002
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 9A5798B5-DC04-4770-A26B-3A489642CF32

Device           Start        End   Sectors   Size Type
/dev/nvme0n1p1    2048    2099199   2097152     1G EFI System
/dev/nvme0n1p2 2099200 1000214527 998115328 475.9G Linux filesystem

และอีกส่วน จะใช้ LVM (Logical Volume Management) ในการสร้าง Volume Group (VG) บน SSD ของผม สำหรับติดตั้งระบบที่เข้ารหัสไว้ โดยจะแบ่งพื้นที่ส่วนนึงไปเป็น swap partition ใช้สำหรับการเก็บข้อมูลตอนที่เราพับจอ หรือเข้าโหมด sleep
ที่เหลือทั้งหมด ก็จะเป็นพื้นที่ติดตั้ง Linux ของผม (disk นี้ผมไม่ได้แยก /home(user's home) กับ /(root) ไว้คนละ Partition เพราะว่าผมชอบทำ root เต็มบ่อย ๆ ฮาาา)

❯ sudo vgscan
  Found volume group "vg0" using metadata type lvm2

❯ sudo lvscan
  ACTIVE            '/dev/vg0/swap' [17.00 GiB] inherit
  ACTIVE            '/dev/vg0/void' [458.93 GiB] inherit

สำหรับวิธีการติดตั้ง Linux แบบเข้ารหัสนั้น มีอยู่ตามคู่มือตอนติดตั้ง Linux เกือบทุกตัวอยู่แล้ว ไม่ต้อง งง ยิ่งพวกที่เป็น GUI install อย่าง Fedora, Ubuntu บลา ๆ นั้นแค่คลิก ๆ ก็ทำได้แล้ว (แถมทำ Secure Boot ได้เลยอีกต่างหาก)

โดยที่ระบบที่ผมใช้ในบทความนี้ คือ VoidLinux ซี่งเป็นระบบง่าย ๆ ไม่มี systemd ให้กวนใจ

ส่วนของ software ที่ใช้จะมี

  1. grub
  2. sbctl
    และ bash script เล็กน้อย ในการทำ kernel hook สำหรับการ Sign ไฟล์ boot ของเราอัตโนมัติหลังจาก Update

เริ่มกันเลย!

อย่างแรก ตั้งค่า SecureBoot ใน Bios เป็น Setup-Mode ให้เรียบร้อยก่อน
จากนั้นต้องตั้งค่า Grub กันใหม่ โดยเพิ่ม module tpm และ --disable-shim-lock (สำหรับ Microsoft's CA) เผื่อกรณีที่อยากทำ Dual Boot เข้า Windows ด้วย

sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=void --modules="tpm" --disable-shim-lock

จากนั้นก็มา Gen ไฟล์ตั้งค่าที่เพิ่งทำไปด้วยคำสั่ง

sudo grub-mkconfig -o /boot/grub/grub.cfg

แล้วก็ติดตั้ง sbctl ให้เรียบร้อย 

sudo xbps-install sbctl

จากนั้นลองเช็คด้วยคำสั่ง sbctl status ก็จะแสดงผลประมาณนี้

❯ sbctl status
Installed:      ✓ sbctl is installed
.....

จากนั้นเราก็จะสร้าง Key สำหรับการ Sign ไฟล์ Boot ของเรา

sudo sbctl create-keys

พอได้คีย์แล้ว enroll-keys ต่อ คำสั่งนี้จะสร้างรหัสสำหรับ Verify ใน Bios ให้เราหลังจากการตั้ง Setup-Mode ใน Secure Boot (-m คือการเพิ่ม Cert ของ Microsoft ไปด้วย เผื่อ Dual Boot)

sudo sbctl enroll-keys -m

หลังจากขั้นตอนนี้ก็ใช้คำสั่งดู status อีกรอบ
และใช้คำสั่ง sudo sbctl verify เพื่อดูว่าเราต้อง Sign ไฟล์ไหนบ้าง

❯ sbctl status
Installed:      ✓ sbctl is installed
Owner GUID:     61bb7cf9-38bb-4ef5-94f6-960b095c9322
Setup Mode:     ✓ Disabled
Secure Boot:    ✓ Enabled
Vendor Keys:    microsoft
❯ sudo sbctl verify
Verifying file database and EFI images in /boot/efi..
✓ /boot/efi/EFI/void/grubx64.efi is signed

อย่างตัวอย่างข้างบนคือไฟล์เหล่านี้ได้ถูก sign เรียบร้อยแล้ว ก็สามารถ Boot ด้วย Secure Boot ได้เลย
หากไฟล์ไหนยังไม่ได้ Sign ก็จัดการด้วยคำสั่ง sudo sbctl sign -s /ไฟล์พาท เช่น

sudo sbctl sign -s /boot/efi/EFI/void/grubx64.efi

แล้วก็ลอง sudo sbctl verify ดูว่า sign เรียบร้อยดีไหม
ถ้าเรียบร้อยแล้วก็สามารถ reboot ไปเปิด SecureBoot ดูได้เลย ว่า Boot เข้าระบบได้หรือไม่

และบางระบบก็ต้อง sign ไฟล์ kernel ด้วยเหมือนกัน อย่างระบบผม ต้อง sign /boot/vmlinuz-{version} ด้วย ไม่งั้น Boot ไม่ได้

❯ sudo sbctl sign -s /boot/vmlinuz-6.9.6_1

❯ sudo sbctl verify
Verifying file database and EFI images in /boot/efi...
✓ /boot/vmlinuz-6.9.6_1 is signed
✓ /boot/efi/EFI/void/grubx64.efi is signed

หลังจาก reboot ด้วย SecureBoot ได้เรียบร้อย เป็นอันเสร็จ
แต่อย่าลืมว่าถ้าระบบ Update เราต้องกลับมา Sign เองใหม่หรือเปล่า??

Kernel Hook

โดยทั่วไป ระบบ Linux จะมี Directory /etc/kernel.d/post-install/ ซึ่งจะรวบรวมเอา Script สำหรับใช้หลังจาก Update ระบบเช่น ตัว Grub เอง ก็สร้างไฟล์ config ใหม่ทุกครั้งหลังจาก update kernel

cat /etc/kernel.d/post-install/50-grub
#!/bin/sh
#
# Kernel hook for GRUB 2.
#
# Arguments passed to this script: $1 pkgname, $2 version.
#
PKGNAME="$1"
VERSION="$2"

export ZPOOL_VDEV_NAME_PATH=YES

if command -v grub-mkconfig >/dev/null 2>&1; then
        if [ -d $ROOTDIR/boot/grub ]; then
                grub-mkconfig -o $ROOTDIR/boot/grub/grub.cfg
                exit $?
        fi
fi

exit 0

และสังเกตุว่า ไฟล์ทั้งหมดใน Directory นี้นั้น จะนำหน้าด้วยตัวเลข ซึ่งเป็นลำดับของการทำงานนั่นเอง โดยที่เลขน้อยกว่า จะถูกรันก่อน จนครบ

❯ sudo ls /etc/kernel.d/post-install/ -l
10-dkms
 20-initramfs -> ../../../usr/libexec/dracut/kernel-hook-postinst
 50-bootsize
50-efibootmgr
50-grub

เราก็จะทำการ Copy ไฟล์ 50-grub มาเป็น templates ในการทำ kernel hook และตั้งชื่อว่า 60-sign เพื่อให้แน่ใจว่า ทุกอย่างถูกติดตั้งไปก่อน แล้ว sign เป็นลำดับสุดท้าย

sudo cp /etc/kernel.d/post-install/50-grub  /etc/kernel.d/post-install/60-sign

แล้วก็เข้าไปแก้ไขไฟล์

sudo vi  /etc/kernel.d/post-install/60-sign

แล้วก็ปรับคำสั่งเป็น sbctl ให้เรียบร้อย
จะสังเกตุว่าผมได้ใช้ sign สองครั้ง คือ grub config และไฟล์ kernel vmlinuz- ที่มีเวอร์ชั่นตามท้าย

#!/bin/sh
#
# Kernel post-install hook for surcue boot.
#
# Arguments passed to this script: $1 pkgname, $2 version.
#

PKGNAME="$1"
VERSION="$2"

if command -v sbctl >/dev/null 2>&1; then
    if [ -d $ROOTDIR/boot/efi ]; then
        echo "Signing new packages v.$VERSION"
        sbctl sign -s /boot/efi/EFI/void/grubx64.efi
        sbctl sign -s /boot/vmlinuz-${VERSION}
        exit $?
    fi
fi

exit 0

เซฟไฟล์ และสุดท้าย ทำ permission ให้มัน excuteable หรือว่าให้โปรแกรมเรียยกทำงานได้

sudo chmod +x  /etc/kernel.d/post-install/60-sign

เนื่องจากว่าบางระบบจะไม่ให้ไฟล์ script ใดๆ มาทำงานได้ตามใจชอบ
เราต้องควบคุมเองว่าไฟล์ไหนมี สิทธ์ ที่จะทำงานได้ นั่นเอง

เพียงเท่านี้ เราก็จะมีระบบเข้ารหัสที่ปลอดภัยสุด ๆ ใครจะมาแอบเสียบแฟรชไดร์มาแก้ไขไฟล์ Boot วางยาเราไม่ได้ แน่นอน

]]> Secure Boot คืออะไร?

Secure Boot เป็นฟังก์ชั่นของระบบไบออส UEFI ที่ป้องกันการติดตั้งไฟล์ระบบที่ไม่ได้รับการอนุมัติจากผู้ผลิดเมนบอร์ด
โดยเมื่อระบบบูต, ไบออส UEFI จะตรวจหาลายเซ็นดิจิตอลในไฟล์บูตของระบบปฏิบัติการ
หากตรวจพบและเช็คความถูกต้องผ่านหมด ก็จะทำการบูตระบบปฏิบัติการนั้นขึ้นมา
แต่ถ้าไม่พบ, ไม่ถูกต้อง หรือลายเซ็นมาจากเจ้าที่ไม่รู้จัก ก็จะปฏิเสธการบูตระบบนั้น

ฟีเจอร์นี้มีไว้ในกรณีที่ระบบปฏิบัติการที่มีรูโหว่แล้วถูกไวรัสเขียนทับไฟล์ระบบที่ใช้บูต หรือถูกผู้อื่นเข้าถึงคอมของเราแล้ววางไฟล์บูตที่มีช่องโหว่ให้โจมตีได้
เมื่อผู้ใช้รีสตาร์ต ระบบจะหยุดทำงานที่จอดำเพื่อไม่ให้ไวรัสก่อความเสียหายเพิ่มเติม หรือถูกโจมตีระบบ

จำเป็นแค่ไหน?

หากว่าระบของเราไม่ได้เข้ารหัสแบบ Full-disk encryption แล้วนั้น ตัว secure boot ไม่ได้จำเป็น หรือไม่มีประโยชน์ใด ๆ เลย นอกจากให้ Microsoft บังคับห้ามเราลง ระบบประติบัติการที่เราต้องการเท่านั้น (ปิด secure boot ใน bios ก็สามารถเข้าระบบได้เลย)

แต่สำหรับระบบที่เข้ารหัสไว้นั้น จะช่วยเพิ่มความปลอดภัยไปอีกระดับ เช่นหากโดยขโมยคอมไป แม้เขาจะพยายามแก้ไขไฟล์ boot ก็ไม่สามารถเข้าถึงระบบเราได้อยู่ดี มีเดียวทางเดียวคือล้างข้อมูลทั้งหมดทิ้งไปเท่านั้น ถึงจะใช้งานคอมเครื่องนั้น ๆ ได้ แม้จะปิด secure boot ใน bios แล้วก็ตาม

ทำให้ระบบ Linux ที่เข้ารหัสไว้ ปลอดภัยขึ้นอีกชั้นนึง

Boot Loader

BIOS > BOOT LOADER > KERNEL > INIT SYSTEM

ในระบบประติบัติการ Linux นั้น มีตัวเลือกสำหรับ Boot Loader ที่หลากหลาย อย่างระบบใหม่ ๆ จะใช้ systemd-boot ที่สะดวกใช้งานง่าย ปรับอะไรได้ไม่มากนัก
โดยตัวที่ใช้เยอะที่สุดคงจะเป็น GRUB ซึ่งสามารถปรับแต่งได้แทบทุก logic ของการบูตเข้าระบบของเรา และในบทความนี้ เราจะใช้ GRUB ในการทำ Secure Boot

โดยก่อนหน้านั้นเราต้องแบ่ง partition ส่วนนึงไปให้ /boot/efi ซึ่งเป็น filesystem แบบ fat ทั่ว ๆ ไป สำหรับ ให้ bios อ่านไฟล์ boot ของเราได้

❯ sudo fdisk -l
Disk /dev/nvme0n1: 476.94 GiB, 512110190592 bytes, 1000215216 sectors
Disk model: WD PC SN735 SDBPNHH-512G-1002
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 9A5798B5-DC04-4770-A26B-3A489642CF32

Device           Start        End   Sectors   Size Type
/dev/nvme0n1p1    2048    2099199   2097152     1G EFI System
/dev/nvme0n1p2 2099200 1000214527 998115328 475.9G Linux filesystem

และอีกส่วน จะใช้ LVM (Logical Volume Management) ในการสร้าง Volume Group (VG) บน SSD ของผม สำหรับติดตั้งระบบที่เข้ารหัสไว้ โดยจะแบ่งพื้นที่ส่วนนึงไปเป็น swap partition ใช้สำหรับการเก็บข้อมูลตอนที่เราพับจอ หรือเข้าโหมด sleep
ที่เหลือทั้งหมด ก็จะเป็นพื้นที่ติดตั้ง Linux ของผม (disk นี้ผมไม่ได้แยก /home(user's home) กับ /(root) ไว้คนละ Partition เพราะว่าผมชอบทำ root เต็มบ่อย ๆ ฮาาา)

❯ sudo vgscan
  Found volume group "vg0" using metadata type lvm2

❯ sudo lvscan
  ACTIVE            '/dev/vg0/swap' [17.00 GiB] inherit
  ACTIVE            '/dev/vg0/void' [458.93 GiB] inherit

สำหรับวิธีการติดตั้ง Linux แบบเข้ารหัสนั้น มีอยู่ตามคู่มือตอนติดตั้ง Linux เกือบทุกตัวอยู่แล้ว ไม่ต้อง งง ยิ่งพวกที่เป็น GUI install อย่าง Fedora, Ubuntu บลา ๆ นั้นแค่คลิก ๆ ก็ทำได้แล้ว (แถมทำ Secure Boot ได้เลยอีกต่างหาก)

โดยที่ระบบที่ผมใช้ในบทความนี้ คือ VoidLinux ซี่งเป็นระบบง่าย ๆ ไม่มี systemd ให้กวนใจ

ส่วนของ software ที่ใช้จะมี

  1. grub
  2. sbctl
    และ bash script เล็กน้อย ในการทำ kernel hook สำหรับการ Sign ไฟล์ boot ของเราอัตโนมัติหลังจาก Update

เริ่มกันเลย!

อย่างแรก ตั้งค่า SecureBoot ใน Bios เป็น Setup-Mode ให้เรียบร้อยก่อน
จากนั้นต้องตั้งค่า Grub กันใหม่ โดยเพิ่ม module tpm และ --disable-shim-lock (สำหรับ Microsoft's CA) เผื่อกรณีที่อยากทำ Dual Boot เข้า Windows ด้วย

sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=void --modules="tpm" --disable-shim-lock

จากนั้นก็มา Gen ไฟล์ตั้งค่าที่เพิ่งทำไปด้วยคำสั่ง

sudo grub-mkconfig -o /boot/grub/grub.cfg

แล้วก็ติดตั้ง sbctl ให้เรียบร้อย 

sudo xbps-install sbctl

จากนั้นลองเช็คด้วยคำสั่ง sbctl status ก็จะแสดงผลประมาณนี้

❯ sbctl status
Installed:      ✓ sbctl is installed
.....

จากนั้นเราก็จะสร้าง Key สำหรับการ Sign ไฟล์ Boot ของเรา

sudo sbctl create-keys

พอได้คีย์แล้ว enroll-keys ต่อ คำสั่งนี้จะสร้างรหัสสำหรับ Verify ใน Bios ให้เราหลังจากการตั้ง Setup-Mode ใน Secure Boot (-m คือการเพิ่ม Cert ของ Microsoft ไปด้วย เผื่อ Dual Boot)

sudo sbctl enroll-keys -m

หลังจากขั้นตอนนี้ก็ใช้คำสั่งดู status อีกรอบ
และใช้คำสั่ง sudo sbctl verify เพื่อดูว่าเราต้อง Sign ไฟล์ไหนบ้าง

❯ sbctl status
Installed:      ✓ sbctl is installed
Owner GUID:     61bb7cf9-38bb-4ef5-94f6-960b095c9322
Setup Mode:     ✓ Disabled
Secure Boot:    ✓ Enabled
Vendor Keys:    microsoft
❯ sudo sbctl verify
Verifying file database and EFI images in /boot/efi..
✓ /boot/efi/EFI/void/grubx64.efi is signed

อย่างตัวอย่างข้างบนคือไฟล์เหล่านี้ได้ถูก sign เรียบร้อยแล้ว ก็สามารถ Boot ด้วย Secure Boot ได้เลย
หากไฟล์ไหนยังไม่ได้ Sign ก็จัดการด้วยคำสั่ง sudo sbctl sign -s /ไฟล์พาท เช่น

sudo sbctl sign -s /boot/efi/EFI/void/grubx64.efi

แล้วก็ลอง sudo sbctl verify ดูว่า sign เรียบร้อยดีไหม
ถ้าเรียบร้อยแล้วก็สามารถ reboot ไปเปิด SecureBoot ดูได้เลย ว่า Boot เข้าระบบได้หรือไม่

และบางระบบก็ต้อง sign ไฟล์ kernel ด้วยเหมือนกัน อย่างระบบผม ต้อง sign /boot/vmlinuz-{version} ด้วย ไม่งั้น Boot ไม่ได้

❯ sudo sbctl sign -s /boot/vmlinuz-6.9.6_1

❯ sudo sbctl verify
Verifying file database and EFI images in /boot/efi...
✓ /boot/vmlinuz-6.9.6_1 is signed
✓ /boot/efi/EFI/void/grubx64.efi is signed

หลังจาก reboot ด้วย SecureBoot ได้เรียบร้อย เป็นอันเสร็จ
แต่อย่าลืมว่าถ้าระบบ Update เราต้องกลับมา Sign เองใหม่หรือเปล่า??

Kernel Hook

โดยทั่วไป ระบบ Linux จะมี Directory /etc/kernel.d/post-install/ ซึ่งจะรวบรวมเอา Script สำหรับใช้หลังจาก Update ระบบเช่น ตัว Grub เอง ก็สร้างไฟล์ config ใหม่ทุกครั้งหลังจาก update kernel

cat /etc/kernel.d/post-install/50-grub
#!/bin/sh
#
# Kernel hook for GRUB 2.
#
# Arguments passed to this script: $1 pkgname, $2 version.
#
PKGNAME="$1"
VERSION="$2"

export ZPOOL_VDEV_NAME_PATH=YES

if command -v grub-mkconfig >/dev/null 2>&1; then
        if [ -d $ROOTDIR/boot/grub ]; then
                grub-mkconfig -o $ROOTDIR/boot/grub/grub.cfg
                exit $?
        fi
fi

exit 0

และสังเกตุว่า ไฟล์ทั้งหมดใน Directory นี้นั้น จะนำหน้าด้วยตัวเลข ซึ่งเป็นลำดับของการทำงานนั่นเอง โดยที่เลขน้อยกว่า จะถูกรันก่อน จนครบ

❯ sudo ls /etc/kernel.d/post-install/ -l
10-dkms
 20-initramfs -> ../../../usr/libexec/dracut/kernel-hook-postinst
 50-bootsize
50-efibootmgr
50-grub

เราก็จะทำการ Copy ไฟล์ 50-grub มาเป็น templates ในการทำ kernel hook และตั้งชื่อว่า 60-sign เพื่อให้แน่ใจว่า ทุกอย่างถูกติดตั้งไปก่อน แล้ว sign เป็นลำดับสุดท้าย

sudo cp /etc/kernel.d/post-install/50-grub  /etc/kernel.d/post-install/60-sign

แล้วก็เข้าไปแก้ไขไฟล์

sudo vi  /etc/kernel.d/post-install/60-sign

แล้วก็ปรับคำสั่งเป็น sbctl ให้เรียบร้อย
จะสังเกตุว่าผมได้ใช้ sign สองครั้ง คือ grub config และไฟล์ kernel vmlinuz- ที่มีเวอร์ชั่นตามท้าย

#!/bin/sh
#
# Kernel post-install hook for surcue boot.
#
# Arguments passed to this script: $1 pkgname, $2 version.
#

PKGNAME="$1"
VERSION="$2"

if command -v sbctl >/dev/null 2>&1; then
    if [ -d $ROOTDIR/boot/efi ]; then
        echo "Signing new packages v.$VERSION"
        sbctl sign -s /boot/efi/EFI/void/grubx64.efi
        sbctl sign -s /boot/vmlinuz-${VERSION}
        exit $?
    fi
fi

exit 0

เซฟไฟล์ และสุดท้าย ทำ permission ให้มัน excuteable หรือว่าให้โปรแกรมเรียยกทำงานได้

sudo chmod +x  /etc/kernel.d/post-install/60-sign

เนื่องจากว่าบางระบบจะไม่ให้ไฟล์ script ใดๆ มาทำงานได้ตามใจชอบ
เราต้องควบคุมเองว่าไฟล์ไหนมี สิทธ์ ที่จะทำงานได้ นั่นเอง

เพียงเท่านี้ เราก็จะมีระบบเข้ารหัสที่ปลอดภัยสุด ๆ ใครจะมาแอบเสียบแฟรชไดร์มาแก้ไขไฟล์ Boot วางยาเราไม่ได้ แน่นอน

]]>