Разработчики из компании 9elements портировали (https://9esec.io/blog/first-modern-coreboot-server-platform/) CoreBoot для серверной материнской платы Supermicro X11SSH-TF (https://www.supermicro.com/en/products/motherboard/X11SSH-TF). Изменения уже включены (https://review.coreboot.org/c/coreboot/+/32734/67) в основную кодовую базу CoreBoot и войдут в состав следующего значительного выпуска. Supermicro X11SSH-TF стала первой современной серверной материнской платой с процессором Intel Xeon, которую можно использовать с CoreBoot. Плата поддерживает процессоры Xeon (E3-1200V6 Kabylake-S или E3-1200V5 Skylake-S) и может оснащаться до 64 Гб ОЗУ (4 x UDIMM DDR4 2400MHz).
Работа проведена совместно (https://www.mullvad.net/de/blog/2019/8/7/open-source-firmwar.../) с VPN-провайдером Mullvad в рамках проекта System Transparency (https://www.mullvad.net/media/system-transparency-rev5.pdf), нацеленном на усиление защищённости серверной инфраструктуры и избавление от проприетарных компонентов, состояние которых невозможно контролировать. CoreBoot является свободным аналогом проприетарным прошивкам и доступнен для полной верификации и аудита. CoreBoot применяется в качестве базовой прошивки для инициализации оборудования и координации начальной загрузки. В том числе реализована инициализация графического чипа, PCIe, SATA, USB, RS232. При этом в CoreBoot интегрированы бинарные компоненты FSP 2.0 (Intel Firmware Support Package) и бинарная прошивка для подсистемы Intel ME, необходимые для инициализации и запуска CPU и чипсета.
Для загрузки операционной системы предлагается использовать SeaBios (https://seabios.org/) или LinuxBoot (https://www.opennet.ru/opennews/art.shtml?num=47965) (реализация UEFI на базе Tianocore (https://www.opennet.ru/opennews/art.shtml?num=35979) пока не поддерживается из-за несовместимости с графической подсистемой Aspeed NGI, работающей только в текстовом режиме). Помимо добавления поддержки платы в CoreBoot участники проекта также реализовали поддержку модулей TPM (Trusted Platform Module) 1.2/2.0 на базе Intel ME и подготовили драйвер для контроллера ASPEED 2400 SuperI/O, выполняющего функции BMC (Baseboard Management Controller).
Для удалённого управления платой обеспечена работа IPMI-интерфейса, предоставляемого контроллером BMC AST2400, но для использования IPMI требуется установка в BMC-контроллер оригинальной прошивки. Также была реализована функциональность верифицированной загрузки. В утилиту superiotool (https://www.coreboot.org/Superiotool) добавлена поддержка AST2400, а в inteltool (https://www.coreboot.org/Inteltool) поддержка Intel Xeon E3-1200. Intel SGX (Software Guard Extensions) пока не поддерживается из-за проблем со стабильностью.URL: https://9esec.io/blog/first-modern-coreboot-server-platform/
Новость: https://www.opennet.ru/opennews/art.shtml?num=51240
А интеловский бекдор-модуль(блин, забыл как он называется) хорошо работает из-под коребута? Или он от БИОСа совсем не зависит?
> и бинарная прошивка для подсистемы Intel MEНе оно разве?
Утилита для отключения встроена в Coreboot https://github.com/corna/me_cleaner
> для мнимого вроде бы как бы казалось бы якобы отключенияпоправил
зависит. В этом открыто-ненужно - вполне себе включен.
"При этом в CoreBoot интегрированы ... и бинарная прошивка для подсистемы Intel ME". это он
Почему не LibreBoot? Как-то по-гомофобному поступили.
Потому что Libreboot - это дистрибутив coreboot. Никто им не мешает вмержить себе этот код (правда, они сами не захотят).
Это два разных проекта с разными целями.
https://www.youtube.com/watch?v=5syd5HmDdGU
По-гомофобному? :) А раскроете? :))
... по-гомофобному поступили.(с)
от ож, однако, да ... таки ... да
> Supermicro X11SSH-TF стала первой современной серверной материнской платой с процессором Intel Xeon, которую можно использовать с CoreBoot. Плата поддерживает процессоры Xeon (E3-1200V6 Kabylake-S или E3-1200V5 Skylake-S) и может оснащаться до 64 Гб ОЗУ (4 x UDIMM DDR4 2400MHz).Вы что, издеваетесь? "современная"? На устаревшем сокете для процессоров > 4-х летней давности, ага. А актуальные Xeon E (7 поколение), те, что моложе 2-х лет (что как бы имеет значение, т.к. 6-ти ядерники, например, стали доступны только с 7-го поколения) в эту старую мать уже не воткнешь.
То, что поддерживается coreboot - это хорошо. А враньше про современную плату - очень плохо. В этом сегменте (Xeon E3/E) покупать предыдущие поколения, не совместимые с актуальными процессорами - очень плохая идея. Это все-таки не полноценные серверные Xeon'ы, где сокет остается актуальным много лет, а модификации десктопных процов с поддержкой ECC. Тут другие правила.
Это больше к интелу претензия. Сокет тот же. После модификации биоса влезут и 4-х ядерники последних поколения, а для 6+ надо уже модифицировать сокет или изолировать/коротить ноги на проце - невелика работа, но несколько геморройно. Ну так это ж Intel
Можно с этого места по-подробнее, желательно ссылками?
https://forums.overclockers.ru/viewtopic.php?f=1&t=602278
А, тут про Xeon E3 на 1151 речь, оказывается. Виноват, думал про X11 и E5. Было бы неплохо на 2011 также погулять в будущем.
А что не так на 2011(-3)? Там с совместимостью и так все ок. А вот в 2066 сокете уже бедовее
> Это больше к интелу претензия. Сокет тот же. После модификации биоса
> влезут и 4-х ядерники последних поколения, а для 6+ надо уже
> модифицировать сокет или изолировать/коротить ноги на проце - невелика работа, но
> несколько геморройно. Ну так это ж IntelПретензия к интелу или нет, это дело десятое. И причем тут сокет? Core 2 тоже был в тот же LGA775, как и последние P4, и P4 работал на мамках для Core 2 - но вы же не требовали поддержки Core 2 в материнках под P4?
"после модификации биоса" - ну так топик вообще про coreboot. И что, дает он такую возможность? Нет, все равно не дает.
И вообще, дело не в этом. И кто там виноват, тоже не важно. А в том, что материнка, рассчитаная на старые процы и не совместимая с текущими никак не может считаться "современной". Что надо иметь ввиду, не обольщаясь всякими coreboot'ами.
Ты для начала глянь список поддерживаемых плат - там большая часть ещё до сэндибриджевой эпохи. То, что поддерживается хотя бы это - уже праздник. И надо им выразить уважение за то, что смогли запустить эту плату.
Вот прям таки 10-е. Это причина. Остальное все следствие. А т.к. исходники coreboot под плату есть, то заменить ME на нужную, досыпать микрокодов и возможно обновить vbios не должно стать проблемой, т.к. это проделывают даже без исходников манипулируя по сути черными кубиками в темной комнате
> Вот прям таки 10-е. Это причина. Остальное все следствие. А т.к. исходники
> coreboot под плату есть, то заменить ME на нужную, досыпать микрокодов
> и возможно обновить vbios не должно стать проблемой, т.к. это проделывают
> даже без исходников манипулируя по сути черными кубиками в темной комнатеУгу, а потом заклеивать лаком контакты или выдирать пины из сокета, чтобы таки-воткнуть тот 6-ти или 8-ми ядерник.. На типа серверной матери.. очень смешно.
попен хадвер, вы ж хотели?А если не заниматься ненужно - так все и прям из магазина работало бы.
> покупать предыдущие поколения, не совместимые с актуальными процессорами - очень плохая идеяДля кого-то иметь у себя блоб, делающий невесть что - ещё худшая идея.
>> покупать предыдущие поколения, не совместимые с актуальными процессорами - очень плохая идея
> Для кого-то иметь у себя блоб, делающий невесть что - ещё худшая
> идея.Ну так покупайте OpenPower и обмазывайтесь свободой по самое небалуйся ))
А я всего лишь за честность формулировок и правду, а не вот такое виляние, что мол появилась в списке coreboot плата чуть помоложе обычной >10-летней рухляди, и сразу мол рекламируют как "современную".
А типа открытая прошивка, использующая 4(!) проприетарных блоба этих "кого-то" не смущает?
>>с процессором Intel XeonСпасибо, но "нет, спасибо".
У них есть почти готовая система под сокет G34 AMD, который примерно той же эпохи. Зато без Intel ME, без мельдаунов и прочего трэша. До сих пор позиционируется как самая мощная из безопасных платформ. Там есть мамки от ASUS, SM, Tyan...
Купить плату на G34 можно и от МЦСТ :) С четырьмя сокетами, Ангарой и аж шестнадцатью слотами под память (при этом в HCL только 8GB модули). Поддержки 63хх нет :)Хотя нет, купить нельзя. Можно достать.
Можешь достать? У меня как раз 6200 %)
> Можешь достать? У меня как раз 6200 %)Мож я те баксов за 50-100 dl385 подгоню?:) На тех же 62хх, даже с процами. Всяко полезнее будет.... а МЦСТшные платы интересны в основном Ангарой, которую, имея лишь одну плату, использовать проблематично... да и с двумя платами тоже :)
>> Можешь достать? У меня как раз 6200 %)
> Мож я те баксов за 50-100 dl385 подгоню?:) На тех же 62хх,
> даже с процами. Всяко полезнее будет.... а МЦСТшные платы интересны в
> основном Ангарой, которую, имея лишь одну плату, использовать проблематично... да и
> с двумя платами тоже :)Ну, да. Ангарные платы я бы, наверное, в итоге на стену повесил, судя по их функциональности.
А ХП я бы взял, наверное. Конечно, 300-я серия - это тот ещё проприетарный ужас, жуткий биос, БМЦ, ремонтонепригодность... Но всё лучше чем гудящий ныне интел.
А ты в жаббире есть?
6535022 :)ideafix@ideafix.name
По DL385 реально готов обсудит, просто сервер и достался почти даром и ко двору не пришелся...
> Купить плату на G34 можно и от МЦСТ :) С четырьмя сокетами,
> Ангарой и аж шестнадцатью слотами под память (при этом в HCL
> только 8GB модули). Поддержки 63хх нет :)16/4 - по 4 слота памяти на проц? Довольно уныленько, если честно. Но видел китайскую плату, где не обломались впаять 2 слота на G34, который, на секундочку, 4-канальный :)
А PC3L-12800 держит?
PCI-e-слотов много?
Фотки есть? )
https://docplayer.ru/42632949-Superkompyuternaya-sistema-ang...
> https://docplayer.ru/42632949-Superkompyuternaya-sistema-ang...Ну вот почему они пилят свои никому не нужные форм-факторы, убирают всю периферию и делают железо нерпигодным для других задач? :_( Хоть бы пару PCI-E, хоть бы что-то похожее на EEB/xATX...
Ну я бы себе допустим взял плату с IPMI и Aspeed бу - но только на дачу смотреть за котлами и камерами. В стойку пихать - ну нет простите.
> Ну я бы себе допустим взял плату с IPMI и Aspeed бу - но только на дачу смотреть за котлами и камерами. В стойку пихать - ну нет простите.Совместишь приятное с полезным - она эти котлы ещё и подогревать будет ;)
>участники проекта также реализовали поддержку модулей TPMПрошу заметить - поддержку TPM реализовала NSA.
Настойчиво рекомендовала включить свою реализацию. А то можно и без зондов остаться