The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Первый выпуск Libreboot, после перехода под крыло проекта GNU"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Первый выпуск Libreboot, после перехода под крыло проекта GNU"  +/
Сообщение от opennews (ok) on 19-Авг-16, 11:40 
Объявлен (http://lists.gnu.org/archive/html/libreboot/2016-08/msg00040...) первый выпуск дистрибутива Libreboot (http://libreboot.org/), после перехода разработки в состав проекта GNU. В рамках Libreboot подготовлено полностью свободное ответвление от проекта CoreBoot (http://www.coreboot.org/), предоставляющее очищенную от  бинарных вставок замену проприетарным прошивкам  UEFI и BIOS. Libreboot развивается при поддержке Фонда СПО с целью формирования системного окружения, позволяющего полностью обойтись без проприетарного ПО, не только на уровне операционной системы, но и прошивок, обеспечивающих загрузку. Libreboot не просто вычищает CoreBoot от несвободных компонентов, но и дополняет его средствами для упрощения применения конечными пользователями, формируя дистрибутив, которым может воспользоваться любой пользователь, не имеющий специальных навыков.


Новый выпуск примечателен добавлением поддержки ноутбука  ASUS Chromebook C201 (ARM), трёх материнских плат для ПК (Gigabyte GA-G41M-ES2L, Intel D510MO, ASUS KCMA-D8) и двух материнских плат для серверных систем (ASUS KFSN4-DRE, ASUS KGPE-D16), для которых  сформированы (https://libreboot.org/download/) готовые для установки сборки. Для ранее поддерживаемых плат внесены большая порция обновлений и исправлений.


Другие изменения:


-  Для систем с чипсетом Intel GM45 (X200, T400, T500, R400)  обеспечено выделение 256 Мб видеопамяти вместо ранее выделявшихся 32 Мб, что позволило добиться качественного декодирования видео 1080p. В целом производительность видео на GM45 при использовании нового  libreboot выше, чем при использовании прошлой версии или оригинального BIOS;

-  Для систем с чипами  i945 (X60, T60, MacBook2,1) добавлена возможность выделения 64 Мб видеопамяти. Данное значение применено по умолчанию (ранее выделялось 8 Мб);

-  Увеличено время автономной работы систем на чипах GM45 (X200, T400, T500, R400) и новее. Добавлена поддержка режима энергосбережения C4;
-  Увеличено время автономной работы систем i945 (X60, T60, MacBook2,1), благодаря более оптимальным настройкам (Deep C4, Dynamic L2, C2E);

-  Обеспечена работа текстового режима на системах с чипами GM45 (X200, T400, T500, R400), что позволяет запустить MemTest86+;

-  Реализовано автоматическое определение LVDS-экранов на системах с GM45 (T400, T500). Частично решены проблемы с отображением меню GRUB на двухканальных LVDS с LCD-экранами высокого разрешения;

-  Значительно улучшены настройки GRUB, что дало возможность упростить загрузку различных шифрованных ФС и предоставить удобное загрузочное меню. Автоматически находится и подключается файл конфигурации grub.cfg, предоставляемый установленными дистрибутивами GNU/Linux;

-  Для плат x86 по умолчанию предлагается SeaGRUB (SeaBIOS настроен для мгновенной загрузки сжатого образа GRUB из CBFS без манипуляций в интерфейсе);

-  Для каждой платы теперь ведётся отдельная ревизия coreboot  и набор патчей, что упрощает сопровождение;

-  До новых версий обновлены все утилиты и модули (coreboot, GRUB и т.п.);


-  В системе сборки обеспечено распараллеливание операций на многоядерных системах для ускорения процесса сборки;

-  Добавлен новый модуль depthcharge bootloader, основанный на загрузчике Google для  ASUS Chromebook C201.


URL: http://lists.gnu.org/archive/html/libreboot/2016-08/msg00040...
Новость: http://www.opennet.ru/opennews/art.shtml?num=45001

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +6 +/
Сообщение от A.Stahl (ok) on 19-Авг-16, 11:40 
Мало, количество поддерживаемого оборудования (при этом ещё х.з. как там с качеством этой поддержки) не внушает оптимизма.
Хотя лучше так, чем никак. Может какой-то производитель захочет сделать себе рекламу и подкинет ребятам свои БИОСы...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +3 +/
Сообщение от Аноним (??) on 19-Авг-16, 13:25 
system76 или как там, вроде выпускает ноутбуки с убунтой. Может бы какую-то петицию сделать, хз. Впрочем, слышал, что портированию мешает технология Intel ME и AMD Platform Security движется в похожую сторону. Так, что выбирать или старое железо, или очень экзотичное, даже не х86
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +2 +/
Сообщение от Аноним (??) on 19-Авг-16, 13:30 
Удачи с количеством оборудования на x86, где ME неотключаемый. Что нагибает весь смысл сабжа, соответственно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от dimqua (ok) on 19-Авг-16, 13:32 
> More RK3288-based laptops will be added to libreboot at a later date.

На это есть надежда.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

27. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 19-Авг-16, 13:56 
http://china-review.com.ua/tags/Rockchip+RK3288/ это?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

67. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 21-Авг-16, 03:31 
> На это есть надежда.

Так то ж аллигаторы^W ARM. Там производителей море - можно найти не очень уродского.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

2. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  –4 +/
Сообщение от Аноним (??) on 19-Авг-16, 11:48 
Хорошо бы написать - что же сделано ими а что сперто с CoreBoot.
Боюсь тогда список совсем маленький получится.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +5 +/
Сообщение от A.Stahl (ok) on 19-Авг-16, 11:51 
Уже добавление приставки GNU значительно увеличивает шанс сотрудничества с производителями чипсетов и плат. Это дорогого стоит.
>сперто

О! Спёрто.... Нет, вы только его послушайте! Спёрто!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

22. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 19-Авг-16, 13:35 
Когда человек берет чужие исправления и говорит что он сделал их - то это сперто, украдено.
когда он говорит - портировано из upstream - это заимствовано.

Так понятнее ?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

26. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +4 +/
Сообщение от A.Stahl (ok) on 19-Авг-16, 13:55 
>подготовлено полностью свободное ответвление от проекта CoreBoot, предоставляющее очищенную от бинарных вставок замену

Ответвление. Форк. Так понятно?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

39. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  –3 +/
Сообщение от Аноним (??) on 19-Авг-16, 15:54 
не понятно. Форк пишет свои достижения, а не чужие. А эти пишут о чужих достижениях как о своих.
Так понятнее?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

41. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +5 +/
Сообщение от A.Stahl (ok) on 19-Авг-16, 16:03 
Где кто пишет о чужих достижениях как о своих? Не понятно. Изъяснитесь понятнее...
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  –7 +/
Сообщение от АмЫнЪ email on 19-Авг-16, 18:29 
Так перейдите на более менее чистый русский и будет понятно всем, а не иностранцам выучившим кое как русский!
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

58. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +2 +/
Сообщение от эннон on 20-Авг-16, 11:21 
> более менее

более-менее

> кое как

кое-как

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

4. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +16 +/
Сообщение от Ubuntu User on 19-Авг-16, 11:55 
Ребят, я простой пользователь, можете помочь и прояснить ситуацию?

Есть такая статья, в которой говорится, что Ubuntu (и остальные *buntu редакции) нас обманывают, и опция "LVM шифрование ВСЕГО диска" во время инсталляции - на самом деле не включает шифрование /boot раздела:

https://habrahabr.ru/post/308032/

И предлагается сложный (для меня по крайне мере) путь решения проблемы.

В связи с этим возникло несколько вопросов:

1. Правильно ли я понял, что в случае с Ubuntu абсолютно не важно - включен ли SecureBoot или выключен? В статье пишут, что он все-равно не работает как надо. И вообще из статьи я понял, что SecureBoot - это скорее вирус или бэкдор от Микрософт.

2. Стоит ли включать LVM-шифрование простым пользователям? Если совсем вкратце - от каких именно проблем с безопасностью это защитит?

3. Почему в Ubuntu не сделают полное шифрование, включая /boot раздел? В чем проблема? Они не знают об этой проблеме? Или это баг?

4. НЕшифрованный /boot раздел - это сильно плохо для безопасности простого юзера? Кто потенциальный атакующий и как он может этим воспользоваться (и вообще проверить, что /boot незашифрован)?

5. Правда ли, что закачав LibreBoot вместо заводской прошивки BIOS/UEFI - можно получить неработоспособное железо, т.к. LibreBoot не поддерживает 99% обычных современных железок (даже, например, 2012 года)? Если да, то в чем тогда его плюс? И как все же избавиться от проблем с безопасностью в случае SecureBoot?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от lavros on 19-Авг-16, 12:02 
По поводу 3 пункта, если ты всё зашифруешь -- как система грузиться будет? Выноси /boot (или всю систему, а диск отдай под данные) на usb раздел, и при каждой загрузки машины подключай его, тогда у тебя получится 100% зашифровать диск.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Ubuntu User on 19-Авг-16, 12:08 
Я не знаю, но в статье говорится что это возможно и приводится сложная инструкция.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от rob pike on 19-Авг-16, 12:11 
Ты перескажи своими словами. Здесь по линкам никто не ходит.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Ubuntu User on 19-Авг-16, 12:14 
Там вот такое: "Установка Ubuntu с шифрованием всего диска с помощью LUKS и LVM" со сложной пост-настройкой SecureBoot и подписыванием драйверов и модулей ядра. Говорят что потом все работает, но это слишком сложно для меня, вот я и спросил...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от lavros on 19-Авг-16, 12:31 
Может, тогда, стоило этот вопрос задать на хабре автору статьи?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от paulus (ok) on 19-Авг-16, 12:40 
SecureBoot для линукса не нужен и подписи от мс тоже.., можешь не заморачиваться.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от MassaPash on 19-Авг-16, 13:33 
что значит не нужен? в том виде, в котором предоставляют вендоры, может, и да, но если есть свободная реализация, то это очень полезная опция для параноиков: при шифровании всех разделов всегда остаётся одна огромная дыра -- загрузчик и/или ядро+ramfs. как раз благодаря secure boot эта дыра закрывается и единственный способ обойти защиту -- возиться с железом (прошивать чип uefi, например).
в статье на хабре предлагают удалить все ключи m$ из secure boot и добавить свой, которым подписать комбинированный образ ядро+ramfs+модули (linux поддерживает прямую загрузку из uefi). тогда, даже если этот образ подменят на незашифрованном /boot, uefi не даст загрузиться, это в разы усложняет атаку, т.к. необходимо специальное оборудование в добавок к физическому доступу. в общем, при физическом доступе это всегда вопрос времени и средств.
без secure boot атака предельно проста: незаметно вскрывается помещение, в котором хранится компьютер с зашифрованными разделами, на диске подменяется ядро и/или ramfs, владелец вводит пароль при запуске для расшифровки раздела, пароль уходит куда надо, на следующий день компьютер пропадает.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

49. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Ivan_83 email(ok) on 19-Авг-16, 20:30 
Параноик прекрасно понимает что для того чтобы упереть пароль не нужно возится с уефи, загрузчиком и прочим.
Достаточно поставить аппаратный клавиатурный логер/передатчик или скрытую камеру.

Поэтому параноик будет в первую очередь обеспечивать безопасность помещения и ставить индикаторы вторжения в него.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

14. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 19-Авг-16, 13:17 
Это для того, чтобы подписать содержимое /boot, а не зашифровать его. В /boot хранятся Ядро Линукса и initrd, который тоже нужен для загрузки системы, ну и всякие мемтесты и конфиги grub. Если ядро и initrd они будут зашифрованы, то bios или uefi не сможет их загрузить. Если их подписать, то SecureBoot должен проверить, не изменились ли они (чтобы убедится, что их не взломали и не подменили).
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от ABATAPA email(ok) on 19-Авг-16, 13:44 
Речь о несколько разных  вещах. Grub2 умеет LUKS, т. е. может спрашивать пароль, значит, можно зашифровать весь диск (кроме загрузчика в первой дорожке). Но и тогда можно подменить его (имея физический доступ), и скомпрометировать систему.

А свои ключи позволяют подписать загрузчик, и его нельзя будет (в теории, если считать, что "отмычек" нет в SecureBoot, а мы знаем по последним новостям, что это не так) подменить. А уже он должен проверить целостность всего, что грузится, и передать управление.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

53. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Sw00p aka Jerom on 20-Авг-16, 00:30 
>>Но и тогда можно подменить его (имея физический доступ), и скомпрометировать систему.

что значить подменить ? запустить свою ОС ? а данные дальше кто будет расшифровывать не зная пароля доступа к шифрованному разделу?

скомпрометировать систему ? - запустить кийлоггер для перехвата ?

пс: secureboot эт механизм верификации и доверия.

>>А уже он должен проверить целостность всего, что грузится, и передать управление.

не только он должен, все и вся должны делать это, не только при установки пакетов софта должны проверятся на ЦП, но и при запуске любого софта (и избавится от "разрешить выполнение")

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

10. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от abi on 19-Авг-16, 12:36 
1. Для чего не важно? Для просто загрузки - да, не важно. Работает он как и было запланировано - есть валидные ключи, есть проверка подписанных файлов.
2. Простых пользователей шифрование защитит от утечки данных при краже железа.
3. Зачем?
4. см. пункт 2, укравшему ваше железо будет доступно только ядро от линукса
5. Получите неработоспособеное железо, если его нет в списке поддерживаемого оборудования. Его плюс в том, что такой компьютер имеет меньшее количество проприетарных блобов, исполнямых процессором. Но остаются блобы, исполняемые соответствующим железом.
Какие проблемы с безопасностью вас интересуют в случае с SecureBoot. Если у вас незашифрованный /boot то никакие проблемы в SecureBoot вас волновать не должны
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от freehck email(ok) on 19-Авг-16, 13:29 
1. Не важно. Когда начинает загружаться Ubuntu, Фаза "бэкдора от MS" SecureBoot уже миновала.
2. LVM-шифрование не нужно простым пользователям. Оно нужно пользователем, которые хотят защитить свои данные (например, если Вы таскаете на ноутбуке свой GPG-ключ, это может иметь смысл.
3. Boot-раздел содержит ядро, которое надо загрузить. Не, если какой-то boot-loader умеет работать с зашифрованным разделом, да к тому же на LVM - бога ради, но я таких не знаю. Обычно оставляют /boot-раздел не тронутым. Ну или выносят его на флешку, и грузятся уже с неё.
4. Нешифрованный /boot-раздел - это не плохо. Но надо иметь в виду, что потенциальный атакующий может подложить своё ядро, свой initrd, а дальше - он там может сделать всё, что захочет. Узнать Ваш пароль от шифрованного диска, например.
5. Правда, если Вы устанавливаете его на не поддерживаемое им оборудование. Плюс в гарантированном отсутствии закладок от производителя материнки.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

28. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от ABATAPA email(ok) on 19-Авг-16, 13:56 
> 1. Не важно. Когда начинает загружаться Ubuntu, Фаза "бэкдора от MS" SecureBoot
> уже миновала.

Но вот Intel Management Engine и AMD Platform Security Processor не миновать, а они могут всё.
https://habrahabr.ru/post/268423/

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

30. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Ubuntu User on 19-Авг-16, 14:22 
На хабре вроде есть статья с попытками отключения.

"Боремся с дистанционным контролем: как отключить Intel ME":

https://habrahabr.ru/company/pt/blog/302292/

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

68. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 21-Авг-16, 03:40 
> "Боремся с дистанционным контролем: как отключить Intel ME":
> https://habrahabr.ru/company/pt/blog/302292/

Там полумеры и костыли.

TL;DR: на железе свежее 2010 года выпуска попытка СОВСЕ Мотключить ME путем выноса его фирмвари - ведет к выключению компа через 30 минут работы. Заменить прошивку ты не можешь потому что там ключ интела жестко вшит. И ты или доверяешь интеловскому блобу и его "отключке" которую он там сам себе сделает, или компьютер превращается в тыкву.

И даже если в некоей версии железа ты сможешь это на..ть - хорошо, в следующей версии железа интел починит этот баг. И вообще - сбой инициализации, инженерные режимы и проч - это вы на честное слово незаменимому блобу поверите. Можете дизассемблером расковыривать что он РЕАЛЬНО может делать в этих состояниях. А кому покажется что это слишком просто, интел в следующей версии железа усложнит. Они и так заменили процессорные ядра в ARC4 старых чипсетов на что-то еще в новых. В некоторых системах к тому ME занимается управлением кулерами и прочими мелочами - если удастся его СОВСЕМ положить, как ты относишься к отвалу управления кулером проца?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 19-Авг-16, 15:29 
Зависит от того, что понимается под словом "шифрование". Если только некоторое преобразование, не позволяющее восстановить исходные данные без знания ключа, то это будет защищать от злоумышленника, который украл носитель (жёсткий диск, например) с целью получить доступ к данным при условии, что прежний владелец больше не будет пользоваться этим диском. При условии, что ключ злоумышленнику неизвестен, обратить преобразование он не сможет.

Но если злодей достаточно подкован в вопросах компьютерной безопасности, то он может изменить поведение системы таким образом, чтобы ничего не подозревающий пользователь выдал свой ключ. Например, отредактировать программу, запрашивающую ключ при загрузке, чтобы она сохраняла его куда-то ещё (например, на тот же носитель; или, что часто бывает удобнее, раскрывала информацию по сети, когда связность будет установлена). Таким образом, имея заранее сделанную копию диска, и получив ключ, злоумышленник сможет воспользоваться данными.

Технология SecureBoot направлена на защиту от модификации загрузочных программ. Если эти программы не будут иметь правильной (разрешённой биосом) подписи, то система не загрузится. Но имея физический доступ к железу эту защиту можно обойти/отключить, либо же ограничиться модификацией тех программ, которые не считаются загрузочными.

Некоторые алгоритмы шифрования включают в себя ещё и контроль целостности данных, что мешает злоумышленнику модифицировать зашифрованные данные.

Ответы на вопросы:

1. Включенный SecureBoot не позволит злоумышленнику, имеющему (возможно временно) права рута на машине изменить загрузочные программы. Некоторые реализации SecureBoot не позволяют владельцу оборудования сменить набор ключей, которые используются для валидации подписей, ограничивая доступные для запуска загрузочные программы (и, соответственно, операционные системы).

2. Да, стоит. Шифровать только /home экономичнее по ресурсам, но есть риск утечки секретных данных в различные места в системе. Например, часть информации может оказаться в логах, которые находятся за пределами /home (например, в /var/log) или временных файлах (/tmp, /var/tmp).

3. Если зашифровать /boot, то понадобится какой-то хитрый механизм загрузки, позволяющий расшировывать /boot в памяти в момент старта системы. В Windows для этого используется набор микросхем TPM. Текущие реализации в Linux поддерживают далеко не все варианты TPM.

4. Злоумышленник может подменить загрузочные программы, обеспечив сохранение ключа в момент его ввода. SecureBoot и/или TPM позволяют усложнить этот процесс.

5. LibreBoot нужно собирать (или находить уже собранные бинарники) под каждую конкретную железку. Риск есть, но его можно свести к минимуму, купив программатор и сохранив содержимое своей флеш-микросхемы. Его плюс в том, что /boot частично или полностью перемещается внутрь BIOS, что не даёт злоумышленнику возможности перезаписать загрузочные программы просто вытащив жёсткий диск (понадобится подключать флеш-программатор к микросхеме BIOS, что заметнее и сложнее).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

40. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Ubuntu User on 19-Авг-16, 15:54 
Спасибо за подробный рассказ. Есть еще пара вопросов.

1. А как именно плохой парень подменит загрузочные программы? Что для этого надо? Если поставить пароль на BIOS/UEFI - он сможет это сделать? Или ему не надо даже входить туда? До какой стадии загрузки вообще надо дойти, чтобы подменить загрузчик? Я слышал есть еще какая-то настройка паролем перед GRUB, пока не введешь пароль - не покажется окно выбора ОС. Или я щас полный бред сказал? :)

2. LibreBoot скомпилить сам не смогу, но почему существует всего 3 материнки для десктопа, для которых он поддерживается? В чем там серьезный затык?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

43. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 19-Авг-16, 17:14 
> Спасибо за подробный рассказ. Есть еще пара вопросов.
> 1. А как именно плохой парень подменит загрузочные программы? Что для этого
> надо?

Если /boot не зашифрован, то достаточно загрузиться с внешнего носителя.
Или вытащить жёсткий диск, поправить программы, а потом вернуть его обратно.

> Если поставить пароль на BIOS/UEFI - он сможет это сделать?

Тогда биос спросит пароль при попытке зайти в настройки и поменять загрузочное
устройство. Но остаётся вариант с записью на диск с другого компьютера или
изменение загрузочных программ в тот момент, когда компьютер уже загружен
(например, при помощи какой-нибудь сетевой атаки или приёмов социальной
инженерии).

> Или ему не надо даже входить туда? До какой стадии загрузки
> вообще надо дойти, чтобы подменить загрузчик?

До любой стадии, позволяющей выполнить произвольный код с достаточными
привелегиями для записи в /boot. Либо вытащить диск (см. выше).

> Я слышал есть еще какая-то
> настройка паролем перед GRUB, пока не введешь пароль - не покажется
> окно выбора ОС. Или я щас полный бред сказал? :)

Есть, она так и называется — password. С её помощью можно заблокировать часть
пунктов меню grub и/или запретить редактировать настройки.

> 2. LibreBoot скомпилить сам не смогу, но почему существует всего 3 материнки
> для десктопа, для которых он поддерживается? В чем там серьезный затык?

(тут я немного привру, чтобы упростить, но при этом постараюсь сохранить общий
смысл)

В том, что во время сборки coreboot/libreboot нужно указать режимы работы
контроллера оперативной памяти, тип процессора, чипсет, размер флеш-микросхемы
и ещё несколько (чуть менее важных) параметров. Изменение любой из этих настроек
требует пересборки.

Бинарники, лежащие в релизных версиях libreboot, протестированы на соответствующих
платформах, для них выяснены все эти параметры, и они не меняются от ревизии к
ревизии.

Во время подбора/тестирования этих параметров будут возникать проблемы, приводящие
к невозможности проинициализировать платформу до конца. Потребуется специальное
оборудование — либо ещё один компьютер, подключенный к UART, либо отладочный
EHCI-донгл, подключенный в первый (а надо ещё определить, какой же из них первый)
USB-порт.

Резюмируя; нельзя утверждать, что просто установка libreboot приведёт к защите
платформы от несанкционированной загрузки. Существует риск получения ключей от
/boot из уже загруженной системы (злоумышленник может, получив рута, считать
флеш командой flashrom -r; этого можно избежать вводом ключа от /boot при
каждой загрузке) и подмены libreboot (можно зашить специальный fdt-дескриптор,
запрещающий дальнейшую запись во флеш, либо установить аппаратный переключатель
на ногу !WP микросхемы). SecureBoot подвержен тем же проблемам, но между
различными платформами различаются способы хранения ключей (идеальный случай,
когда ключи хранятся в TPM, запись в который блокируется перед запуском
загрузчика, но такого я ещё не встречал) и процедуры их проверки. Получается
security through obscurity: на некоторых платформах SecureBoot отключается
изменением значения всего одной переменной в nvram; из Windows это можно
сделать используя документированные вызовы API.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Ubuntu User on 19-Авг-16, 18:02 
Спасибо, очень интересно!
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

54. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Sw00p aka Jerom on 20-Авг-16, 00:38 
>>До любой стадии, позволяющей выполнить произвольный код с достаточными

привелегиями для записи в /boot. Либо вытащить диск (см. выше).

вот из-за таких ситуаций и придумали механизм проверки целостности бут загрузчика (secureboot), и не нужно никакое шифрование его.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

60. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 20-Авг-16, 12:43 
> вот из-за таких ситуаций и придумали механизм проверки целостности бут загрузчика (secureboot), и не нужно никакое шифрование его.

Проблемы secureboot в том, что:
1. нужно подписать все участки кода, отвечающие за загрузку вплоть до того момента, когда расшифровываются данные (это по крайней мере сам загрузчик, ядро и initrd/initramfs);
2. secureboot можно выключить, а пользователь не будет при каждой загрузке проверять, не выключен ли он.

Если #1 в Windows выполним относительно легко (загрузочные программы почти никогда не меняются, хорошо протестированы и подписаны ключами Microsoft), то с Линуксами всё значительно сложнее — либо поддерживай свою PKI, самостоятельно подписывай все бинарники (сложность в загрузке своего ключа в bios/tpm и подписывании на другом компьютере, чтобы ключ не утёк), либо ограничиться в выборе и остановиться на тех дистрибутивах, где уже всё подписали.

Чтобы secureboot был полезен, нужно не только соблюсти все эти правила, но ещё и обеспечить проверку целостности остальной системы (корневого раздела). Ведь если он не будет зашифрован (или же шифрование не будет включать в себя проверку целостности), то злоумышленник сможет обеспечить исполнение своего кода уже после того, как отработали загрузочные программы.

#2 можно было бы решить, принудительно останавливая загрузку, когда Secure Boot выключен. Так было сделано на первых Chromebook — режим разработчика активировался аппаратным переключателем; это приводило к появлению сообщения вроде "внимание! ты разработчик! нажми такую-то кнопку для продолжения загрузки или верни переключатель обратно".

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

46. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от sage (??) on 19-Авг-16, 18:30 
>1. Правильно ли я понял, что в случае с Ubuntu абсолютно не важно - включен ли SecureBoot или выключен? В статье пишут, что он все-равно не работает как надо. И вообще из статьи я понял, что SecureBoot - это скорее вирус или бэкдор от Микрософт.

Насколько я знаю, последние Ubuntu полноценно работают с Secure Boot. Именно полноценно — вы не сможете по умолчанию загрузить модули ядра, не подписанные каким-то ключом из db Secure Boot. Нет, Secure Boot не вирус и не бекдор. По-хорошему, продвинутые пользователи должны сгенерировать и  добавить свои ключи в db Secure Boot, и опционально отозвать ключи Microsoft (в Secure Boot от MS два типа ключей — два Windows и для всего остального, вторые используются в том числе и для линуксовых загрузчиков; отзывать нужно первый), если не планируете пользоваться Windows.
Более подробно тут: https://habrahabr.ru/post/273497/

>2. Стоит ли включать LVM-шифрование простым пользователям? Если совсем вкратце - от каких именно проблем с безопасностью это защитит?

Вы, вероятно, имели ввиду LUKS, а не LVM. Оно защитит вас от компрометации данных, если ваш ноутбук, например, украдут, или кто-то получит к нему доступ на ограниченное время, пока он выключен, с целью копирования данных.

>3. Почему в Ubuntu не сделают полное шифрование, включая /boot раздел? В чем проблема? Они не знают об этой проблеме? Или это баг?
>4. НЕшифрованный /boot раздел - это сильно плохо для безопасности простого юзера? Кто потенциальный атакующий и как он может этим воспользоваться (и вообще проверить, что /boot незашифрован)?

Это и есть полное шифрование, это не баг. У вас должно быть что-то незашифрованное, чтобы система запустилась. Если мы говорим о UEFI, то там есть незашифрованный ESP-раздел, на котором, с большой вероятностью, находится загрузчик, а может быть и ядро, и initramfs. Можно, конечно, настроить GRUB2 таким образом, что он будет сначала расшифровывать ядро и initramfs, а потом их загружать.

От этой проблемы нужно пытаться избавляться в том случае, если кто-то охотится за вашими данными. Злоумышленник не сможет получить ваших данных, если получит доступ к выключенному компьютеру, но он может подменить вам загрузчик, ядро или initramfs, добавив в него функциональность сохранения вашего пароля, и когда он получит доступ к компьютеру _второй_ раз, то сможет расшифровать ваши данные.

К слову, Secure Boot как таковой не имеет никакой защиты против человека _за_ компьютером, он был создан для того, чтобы избежать подмены загрузчика (установки буткита) извне, когда злоумышленник не имеет физического доступа к компьютеру, но имеет полный удаленный доступ. Однако, как правило, пароль на UEFI Setup является хорошей мерой защиты, его, как правило, так просто не сбросить.

Более простым с точки зрения настройки, но не использования, способом, является вынос загрузчика, ядра и initramfs на отдельную USB-флешку, которую вы будете вставлять при загрузке компьютера. Хоть и технологически эти подходы совершенно разные, результат они приносят примерно одинаковый.

Если вас всерьез волнует эта тема, то вам нужно смотреть в сторону доверенной загрузки (Trusted Boot) — если Secure Boot сделан для ограничения выполнения подмененного (неподписанного) кода, то Trusted Boot просто не расшифрует данные, если что-то подменили в процессе загрузки. Планирую написать статью на эту тему, если интересно.

P.S. опоздал с ответом, аноним вам то же самое рассказал, но другими словами.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

55. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Sw00p aka Jerom on 20-Авг-16, 00:42 
>>добавить свои ключи в db Secure Boot

зачем ? вы каждый день пишите собственные модули для ядра ? или ставите ПО с кернель модулем?

пс: переподписывание модулей виртуалбокса меня уже достало, иной раз ваще на легаси режим перейти хочется.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

62. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от sage (??) on 20-Авг-16, 18:34 
У меня есть несколько сторонних модулей ядра, которых нет в репозитории, но у меня старый лаптоп без Secure Boot.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

12. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Ubuntu User on 19-Авг-16, 12:42 
А какое именно железо должен поддерживать загрузчик (тот же LibreBoot)? Только материнская плата?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 19-Авг-16, 13:16 
https://libreboot.org/docs/hcl/

Очень ограничено

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

31. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Ubuntu User on 19-Авг-16, 14:24 
Офигеть! 3 материнки для десктопа. 3 из тысячи. Это выходит надо специально подбирать железки (еще найти в продаже) для LibreBoot. Это печально, но ожидается ли изменение ситуации в ближайшее время?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

76. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 21-Авг-16, 08:35 
> ожидается ли изменение ситуации в ближайшее время?

Врядли, потому что еще Пушкин высказался:


Паситесь, мирные народы!
Вас не разбудит чести клич.
К чему стадам дары свободы?
Их должно резать или стричь.
Наследство их из рода в роды
Ярмо с гремушками да бич.

Так что если ты хочешь теплое стойло и теплую кормушку со всем готовеньким, изволь и вторую часть бартера потерпеть.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

15. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 19-Авг-16, 13:20 
Кстати, а как там свободные ноутбуки? Собирали же деньги и не один проект был
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от freehck email(ok) on 19-Авг-16, 13:32 
> Кстати, а как там свободные ноутбуки? Собирали же деньги и не один проект был

Разве собирали? Я помню какой-то умелец в Лондоне Thinkpad-ы чистил-пересобирал, заливал туда Librebot и продавал. Но на этом вроде всё.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 19-Авг-16, 13:52 
На kickstarter же. И novena, и модульки на ARM. А перепрошитые thinkpad и так продают, от 500 евро, хотя можно взять за 200 долларов и перепрошить у Васяна
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

81. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Azaza on 23-Авг-16, 03:11 
Старые thinkpad'ы - это какие? X220? Новые-то не алё.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

83. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 23-Авг-16, 11:45 
x60, x200, t400
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

24. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от rob pike on 19-Авг-16, 13:49 
https://www.kosagi.com/w/index.php?title=Novena_Main_Page
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

32. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Ubuntu User on 19-Авг-16, 14:36 
А что скажите про Olimex? Там же нашлось OpenHardware:

https://www.olimex.com/Products/OLinuXino/open-source-hardware

Довольно симпатичный ноут, где его только купить?

https://www.olimex.com/Products/DIY%20Laptop/

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

35. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 19-Авг-16, 15:14 
Интересные ребята, самому бы хотелось о них узнать больше. Может кто напишет им?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

70. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 21-Авг-16, 06:09 
> Интересные ребята, самому бы хотелось о них узнать больше. Может кто напишет им?

Этот проект пока в процессе разработки. Olimex компания не новая и если они говорят что что-то в процессе разработки - им лучше верить на слово, кроме случая когда вы готовы к серьезному хардкору. Если вы готовы к серьезному хардкору - наверное надо писать им и обсуждать это весьма отдельно.

Технически они развели как минимум некоторые платы с 64-битными ARM в KiCad и сделали пробные партии в железе. Железо работает. И крупных глюков вроде как нет. Но поддержка софтом, особенно майнлайном линя - в совсем начальном состоянии пока.

Вообще, кто сказал что свобода это просто? Просто - набить пузо тем что дал хозяин, хрюкая в уютной луже с грязью и не утруждая мозг вопросами зачем все это. Правда потом часто оказывается что кого-то отправляют на мясо, кого на стрижку, кого на дойку, а истошные визги - игнорируют. Как майкрософт с шпионажем в десяточке, когда табуреты стали прогорать даже у некоторых депутатов парламентов уже.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

79. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 22-Авг-16, 13:11 
Моар подробностей, хочется больше сведений, как получить. Кстати, они не думали сделать несколько функций в стиле тхинкпад, думаю привлекут фанатов
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

61. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +2 +/
Сообщение от Аноним (??) on 20-Авг-16, 15:20 
https://www.crowdsupply.com/sutajio-kosagi/novena
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +2 +/
Сообщение от Аноним (??) on 19-Авг-16, 14:01 
Наверное, Столлман бы хотел вернуть времена лисп-машин
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 20-Авг-16, 09:28 
С открытым кодом!
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 19-Авг-16, 14:41 
Я впадаю в уныние от поддерживаемого железа. Какие есть преграды добавить все материнские платы с кор2дуо и старей и платы с АМД?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от beresk_let on 19-Авг-16, 15:12 
Никаких, добавь.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  –1 +/
Сообщение от Аноним (??) on 19-Авг-16, 15:45 
Если это такая рутинная работа, то почему разработчики берутся за какое-то старье?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

71. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 21-Авг-16, 06:15 
> Если это такая рутинная работа, то почему разработчики берутся за какое-то старье?

За что могут - за то и берутся. Вот так просто и банально. Старое железо попроще и документации или реверснутых сведений больше. А когда у тебя ультрасложная железка на которую документации нет или неполная, с советом "выполнияйте наш блобобиос/блобофирмварь, верьте на слово и и не парьте себе мозг" - нутыпонел. Можешь реверсить и кодить, никто не запрещает.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

38. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 19-Авг-16, 15:49 
Если это просто, тогда почему разработчики берутся за всякое старье?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

47. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от beresk_let on 19-Авг-16, 18:44 
Потому что им так хочется. Тебе хочется другого — ты и займись.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

59. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от 1 (??) on 20-Авг-16, 11:36 
Intel Management Engine и AMD Platform Security Processor
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

48. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 19-Авг-16, 19:47 
Проблема даже не в ограниченной поддержке оборудования, вы посмотрите как его устанавливать ! Нужно открыть ноутбук,иногда еще перепаять память ака собери ноутбук сам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 19-Авг-16, 23:46 
На thinkpad x60 например можно не открывая, просто программно прошить.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

56. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  –1 +/
Сообщение от Аноним (??) on 20-Авг-16, 09:04 
Да, это простите уже верх пердольства. Впрочем, если есть лишние евро то можно купить уже готовые ноутбуки с стикерами: https://libreboot.org/suppliers/ Я когда-то так и сделаю.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

64. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +3 +/
Сообщение от Аноним (??) on 20-Авг-16, 21:22 
Для меня это пройденный шаг. Сейчас я уже сам собрал сублиматор-пресс для лапши. Сам прессую для себя совершенно свободную лапшу. Жена, тоже фанатка GNU, шьёт нам одежду из собственного льна. Лён сами выращиваем в лесу, у нас там землянка.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

73. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  –1 +/
Сообщение от Аноним (??) on 21-Авг-16, 06:19 
Этот пост просто пропитан завистью проприетарщика к тем кто смеет не ходить строем и не наслаждаться любезно всученными бэкдорами.

P.S. я что-то не помню чтобы производители ткани предъявляли права на одежду и тем более смели диктовать что с одеждой можно делать. А вот автопром уже начинает слегонца.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

65. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 20-Авг-16, 21:33 
Единственный выход на видео - это VGA. Роскошно! Ты подкопи ещё лет 10, когда совместимость с VGA окончательно везде похерят и тогда покупай. Мне кажется, что сейчас эти ископаемые ещё недостаточно окаменели.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

72. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 21-Авг-16, 06:17 
> Единственный выход на видео - это VGA. Роскошно! Ты подкопи ещё лет
> 10, когда совместимость с VGA окончательно везде похерят и тогда покупай.
> Мне кажется, что сейчас эти ископаемые ещё недостаточно окаменели.

Что-что? Гришь, в слишком длинной цепи - можно запутаться? :)

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

77. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 21-Авг-16, 12:56 
В thinkpad x200 ultrabase есть displayport например...
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

82. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от trader2k4 (ok) on 23-Авг-16, 07:56 
На "типа поддерживаемой" древней плате Intel D510MO, если внимательно прочитать - и этого нет! Типа, не поддерживается функционал, "делайте headless-серваки". Так что ноутбукам ешё повезло...
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

52. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 20-Авг-16, 00:01 
Если кому интересно, то с помощью Ардуино вполне можно прошить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 21-Авг-16, 08:32 
Прошить SPI флеху можно любым копеечным адаптером на FTDI232RL или тем паче 2232/4232. Вообще не занимаясь програмизмом - поддерживается кучей готового софта. У SPI флех протокол достаточно простой сам по себе.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

63. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 20-Авг-16, 21:00 
А GNU бреет у себя под крылом? А моет? Мне так чуется, что нет. GNU, не подымай крыло! Не подымай!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

74. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +1 +/
Сообщение от Аноним (??) on 21-Авг-16, 06:20 
> А GNU бреет у себя под крылом? А моет? Мне так чуется,
> что нет. GNU, не подымай крыло! Не подымай!

Если тебе побрили крыло - ты скорее всего попал в ощип.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

78. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Arbichev email(ok) on 21-Авг-16, 18:11 
Эх, никто не сказал о том, что часто производитель материнской платы в BIOS ограничивает возможность разгона элементов, которая технически на плате присутствует!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "Первый выпуск Libreboot, после перехода под крыло проекта GN..."  +/
Сообщение от Аноним (??) on 22-Авг-16, 21:10 
это на другом уровне исполняется чем Libreboot/coreboot.
инициализируется проц и выбирает установки сообразно конфигом под руководском своего aMT/ME внутрях, работающего в -3 кольце при подаче питания на проц, аналогичная часть фирмвера у AMD зовется AGESA и в последних версиях - тоже разруливается ME втнутренним(не сильно более рудиментарным чем).
пока утечек devkit-ов фирмвера не было с патченным микрокодом - на AMD вернуть возможность разгона и установки производьно-включаемого свободного множителя путем моддинга их - затруднена а на intel исключена в принципе в силу то что часть ограничений - защита в внутрюнюю nvram me(он и в проце теперь живет а не только чипсете как когда-то)и несмотря на то что она физчиески записываемая, способа обойти hpa-флаг там и писать туда - никто не нашел.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor