The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Intel развивает открытую прошивку ModernFW и гипервизор на языке Rust

15.05.2019 23:41

Компания Intel представила на проходящей в эти дни конференции OSTS (Open Source Technology Summit) несколько новых экспериментальных открытых проектов. В рамках инициативы ModernFW ведётся работа по созданию масштабируемой и безопасной замены прошивок UEFI и BIOS. Проект находится на начальной стадии развития, но на данном этапе разработки в предложенном прототипе уже имеется достаточно возможностей для организации загрузки ядра операционной системы. Проект базируется на наработках TianoCore (открытая реализация UEFI) и возвращает изменения в upstream.

ModernFW нацелен на предоставление минималистичных прошивок, пригодных для использования на вертикально интегрируемых платформах, таких как серверы для облачных систем. На подобных системах нет необходимости в поддержании в прошивке кода для обеспечения обратной совместимости и компонентов для универсального применения, свойственных традиционным прошивкам UEFI. Избавление от лишнего кода снижает число возможных векторов для атак и ошибок, что положительно сказывается на безопасности и эффективности. В том числе ведётся работа по выносу из прошивки поддержки устаревших типов устройств и функциональности, которая может выполняться в контексте операционной системы.

Оставлены только необходимые драйверы устройств и предоставлена минимальная поддержка эмулируемых и виртуальных устройств. По возможности, задачи, которые могут выполняться на уровне ОС, переносятся на уровнень операционной системы. Часть кода совместно используется в прошивке и ядре ОС. Предоставляется модульная и настраиваемая конфигурация. Поддержка архитектур пока ограничена системами x86-64, а из загружаемых ОС пока поддерживается только Linux (при необходимости может быть реализована поддержка и других ОС).

Одновременно компания Intel представила проект Cloud Hypervisor, в рамках которого предпринята попытка создания гипервизора на основе компонентов совместного проекта Rust-VMM, в котором кроме Intel также участвуют компании Alibaba, Amazon, Google и Red Hat. Rust-VMM написан на языке Rust и позволяет создавать специфичные для определённых задач гипервизоры. Cloud Hypervisor является одним из таких гипервизоров, который предоставляет высокоуровневый монитор виртуальных машин (VMM), работающий поверх KVM и оптимизированный для решения задач, свойственных для облачных систем. В контексте интересов Intel основной задачей Cloud Hypervisor является запуск современных дистрибутивов Linux с использованием паравиртуализированных устройств на базе virtio.

Поддержка эмуляции сведена к минимуму (ставка делается на паравиртуализацию). В настоящее время поддерживаются только системы x86_64, но в планах имеется и поддержка AArch64. Для избавления от лишнего кода и упрощения настройка CPU, памяти, PCI и NVDIMM производится на этапе сборки. Предусмотрена возможность миграции виртуальных машин между серверами. Из ключевых задач упоминается: высокая отзывчивость, низкое потребление памяти, высокая производительность и сокращение возможных векторов для атак.

  1. Главная ссылка к новости (https://newsroom.intel.com/new...)
  2. OpenNews: Сервис доставки обновлений прошивок для Linux перешёл под крыло Linux Foundation
  3. OpenNews: Компания Microsoft представила Mu, открытую модульную систему для создания UEFI-прошивок
  4. OpenNews: Intel опубликовал открытую прошивку для инициализации оборудования и загрузки ОС
  5. OpenNews: Linux Foundation представил проект LinuxBoot для замены UEFI-прошивок
  6. OpenNews: Intel представил проект по развитию открытых прошивок для звуковых чипов
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: intel, firmware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (47) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:36, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    лучше бы дали возможность выпилить к чертям свой ME/AMT.
     
     
  • 2.5, Аноним (-), 02:09, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Я слышал System76 и еще какая-то фирма отключает ME на своих ноутах.

    https://www.tomshardware.com/news/system76-disables-intel-me-firmware,36030.ht

    https://www.reddit.com/r/linux/comments/7gpcu5/system76_will_disable_intel_man

    https://www.reddit.com/r/Purism/comments/8j1d8w/killing_intel_me_purism_vs_sys

     
     
  • 3.12, JustCurious (?), 06:34, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Еще какая-то фирма - это наверное Purism (https://puri.sm/)
     
  • 3.25, AnonPlus (?), 08:18, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Полностью отключить нельзя.

    AMD: зачастую в настройках Биоса есть опция "отключить"

    Intel: недокументированные бит в настройках ME, для включения нужен программатор.

    Минусы - вы просите это ядро обеспечения безопасности отключить себя. То есть, вы доверяете тому, что оно это сделает. А раз вы ему доверяете, то зачем его отключать?

    У Intel можно повредить сегменты прошивки, не критичные для запуска системы, что даёт чуть больше уверенности. Но, повторяю, совсем отключить PSP или ME невозможно. На них в целях удешевления (писать на сях проще, чем на верилоге) вынесены задачи, критичные для старта системы.

    Если на реддите пишут обратно, то пишущий не разбирается в теме.

     
     
  • 4.26, АнонМинус (?), 09:06, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Минусы - вы просите это ядро обеспечения безопасности отключить себя. То есть, вы доверяете тому, что оно это сделает. А раз вы ему доверяете, то зачем его отключать?

    Мы можем доверять тому, что базовый функционал в нём работает, но предполагать наличие уязвимостей. Отключать надо для уменьшения attack surface.

     
  • 4.32, Intel (??), 11:05, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >AMD: зачастую в настройках Биоса есть опция "отключить"

    Фейк такой же как и у гигабайта для интел. Отключить PSP нельзя - он проводит тренировку памяти.

    >Минусы - вы просите это ядро обеспечения безопасности отключить себя. То есть, вы доверяете тому, что оно это сделает. А раз вы ему доверяете, то зачем его отключать?

    Не просто бит а еще и удаление модулей.

    >Если на реддите пишут обратно, то пишущий не разбирается в теме.

    Это у Вас наблюдается полнейшее непонимание темы, увы. Советую тратить больше времени на изучение любой темы.

     
     
  • 5.36, InuYasha (?), 11:40, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а) Можно провести тренировку памяти и отключить.
    б) Можно провести тренировку памяти программно (возможно, медленнее).
     
  • 5.49, AnonPlus (?), 20:09, 21/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы уверены, что прочитали мой комментарий полностью? Потому что, вы повторяете ровно то, что я написал - отключить эти "ядра обеспечения безопасности" полностью невозможно, а у ME мы можем хотя бы часть прошивки повредить.
     

  • 1.2, Аноним (2), 01:09, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Open Firmware striking back!
     
     
  • 2.3, Аноним84701 (ok), 01:16, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Open Firmware striking back!

    Учитывая, кто был инициатором и продвигальщиком UEFI … воистину: "сделай плохо, а потому верни как было!".


     
     
  • 3.18, пох (?), 07:51, 16/05/2019 Скрыто
  • –5 +/
     
     
  • 4.37, Аноним84701 (ok), 11:47, 16/05/2019 Скрыто
  • +/
     
     
  • 5.42, пох (?), 16:27, 16/05/2019 Скрыто
  • +/
     
  • 2.41, qweo (?), 16:14, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда бы https://ru.wikipedia.org/wiki/Open_Firmware - так нет, опять пилят убогий и вместе с тем over-engineered UEFI. И то уж хорошо, что делают его чуть менее ужасным.

    Ну и развитие паравиртуализации на замену нереальной поверхности атаки (и пастбищу багов) QEMU радует.
    Но тут вспоминается "бойтесь данайцев, дары приносящих" :-|

     

  • 1.4, Аноним (4), 02:04, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Т.е. на десктопы они забили? Там пусть M$ со своим UEBI всех нагибает, да?
     
     
  • 2.6, Аноним (6), 02:12, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Да. Почему они должны за тебя беспокоиться? Обратись к своему диллеру шапочек из фольги.
     
     
  • 3.19, диллер (?), 07:55, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    эта фольга не для шапочек, укурки недоделанные!
     

  • 1.7, Аноним (-), 02:27, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Все эти инициативы интел - лажа лютая.
     
     
  • 2.21, Аноним (21), 08:03, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да пусть пробуют. Может что-нибудь путное из Rust выйдет. В любом случае, опыт его использования здесь будет полезен.
     
     
  • 3.35, proninyaroslav (ok), 11:20, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я бы сказал жизненно важный для раста. Ибо если корпорации не будут вливать, так и останется хипстерским языком.
     

  • 1.8, Аноним (8), 05:04, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > ведётся работа по созданию масштабируемой и безопасной замены прошивок UEFI и BIOS

    Господи, опять?! Я думал уефи и была той самой "масштабируемой и безопасной заменой" биос.

     
     
  • 2.17, EHLO (?), 07:37, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Я думал уефи и была той самой "масштабируемой и безопасной заменой" биос

    Действительно думал, или просто поверил дяде?

     

  • 1.9, Anonymoustus (ok), 05:23, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Штеуд! Оставь BIOS в покое! Займись процессорами!
     
     
  • 2.27, Аноним (27), 09:09, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У них и с процессорами как-то хреново получается.
     
  • 2.34, Аноним (34), 11:14, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    BIOS тесно связан с процессорами, поэтому пусть и этим занимамаются. А вот гипервизоры, да, пусть отставят. А то как Mozilla, браузер стал получаться плохо - занялись чем угодно.
     

  • 1.10, Аноним (10), 05:59, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Осилят ли, у них вон процессоры дырявые
     
  • 1.11, Аноним (11), 06:11, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    выкинуть все ненужное из UEFI, безусловно, б-гоугодно
     
     
  • 2.13, ryoken (ok), 06:56, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я лично никогда не понимал, вот нафейхоа в UEFI TCP\IP ..? Причём у некоторых аж сразу DualStack, v4\v6.
     
     
  • 3.15, Аноним (15), 07:18, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вроде как для обновления по сети из самого себя. На деле - дыра на дыре и дырой погоняет.
     
  • 3.20, пох (?), 08:02, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кажется, идея была в возможности подсосать нужный для загрузки драйвер, а не тащить его вместе с платой. Но, как обычно, вышло слишком сложно и китайцы ниасилили - "как-нибудь с флэшки загрузитесь, драйвер для нее в комплекте есть".

    удаленную консоль через этот же механизм без всяких корявых поделок а-ля ilo - тоже никто не запрещал сделать. Но и не сделал никто ;-) потому что у хепе есть ilo, у леновы свое непотребство трех разных несовместимых и непохожих вариантов, а супермикра торговала отдельными ipmi модулями и их "активацией", и не собиралась прекращать.

    А интелу все как-то было недосуг, у него уйозвимости в процессорах, все силы брошены на придумывание еще тридцати новых хуков в микрокоде.

     
     
  • 4.29, Растоманы (?), 10:34, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уже был кейген https://peterkleissner.com/2018/05/27/reverse-engineering-supermicro-ipmi/

    https://github.com/bwachter/supermicro-ipmi-key

     
     
  • 5.30, пох (?), 10:59, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да хрен с ним с ключом - те у кого полные стойки супермикр, могут и заплатить (могут и пожмотиться, не топтопу же ж, а админу бегать перетыкать раздолбанные консольники, поэтому кому-то тот кейген очень даже в жилу)

    ты представь куда его пихать и каким образом все это устроено. Особенно когда у тебя там линукс (для винды возможно есть какая-нибудь чудо-приложуха, позволяющая обойтись без перезагрузки). Вот оно щастье-то, когда таких стоек и не одна...

    Но это еще цветочки, ягодки - когда на какой-нибудь матери особо жестко извратились, и модуль для ipmi - отдельная микроплатка за отдельные деньги (с отдельным p/n) - подключаемая microusb (разумеется, только по разъемам, внутри какая-то своя шина) в жопку на матери. Вывести из сервиса, выключить, отковырять все разъемы, выковырять из стойки, ничего другого не задев, отковырять верхнюю крышку (обычно для этого из стойки надо снимать целиком), засунуть, воткнуть кабель, закрыть и собрать все в обратном порядке.

    У этих китаез там пасти от икоты еще не лопнули, интересно?

    А что uefi позволила бы без всего этого траходрома обойтись - им пофигу.

     
  • 4.43, Pofigist (?), 10:27, 17/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > удаленную консоль через этот же механизм без всяких корявых поделок а-ля ilo - тоже никто не запрещал сделать. Но и не сделал никто ;-)

    Не сделал. Потому что - нельзя. Чтоб это была полноценная консоль, с поддержкой всего функционала IPMI 2.0 - приходится лепить отдельный модуль (BMC), со своим процом и т.д.

    >  а супермикра торговала отдельными ipmi модулями и их "активацией", и не собиралась прекращать.

    Отдельными модулями BMC торгуют все кому не лень, у супермикры он давно интегрирован на мать, как iLO или RSA.

    И кстати "лицензия" у супермикро практически не накладывает ограничений - ну бивиса там нельза обновить удаленно например. Это тебе не iLO, где без лицензии ты не можешь даже удаленной консолью воспользоваться.

     
     
  • 5.45, Michael Shigorin (ok), 13:20, 18/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так, немножко ясности:
    * IPMI BMC (baseboard management controller) -- это _базовая_ фунциклинальность: питание, ресет, датчики и SoL, для неё достаточно микроконтроллера;
    * IPMI SP (service processor) -- это _довески_ вроде iKVM, remote media, веб-морды и всего такого, которым и нужен уже более полновесный обычно ARM (которые массово паять прям на материнки стали как раз лет десять назад).

    Насколько припоминаю, BMC должен достаточно тесно сидеть на плате (или в своём разъёмчике), а вот SP от железа отвязан посильней (ему бы до BMC доступиться) и его выносить в отдельные модули должно быть проще.

    Ну и раз расвпоминались -- железки/прошивки до IPMI 2.0 любили жрать чужие пакеты, если сконфигурировать на shared lan (или dedicated просто нет).  Потом всё же пролечили.

     
  • 3.23, wd (?), 08:04, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    pxe?
     
     
  • 4.31, пох (?), 11:01, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не, pxe это отдельная штуковина, внутри драйвера (или как там оно правильно) сетевой карты того уефи, и работает только при выборе ее в качестве источника загрузки.

    А есть еще отдельный api, позволяющий поднять полноценную сеть, доступную другим модулям. Пользы от него по факту никакой, вред вполне возможен.

     
  • 4.38, ryoken (ok), 14:28, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > pxe?

    Немного возился с этим делом дома. Самое веселье то, что TFTP сервер смотрит ответ от сетевушки, которая намеревается стартануть по PXE. Есть несколько видов кодов (PC BIOS, EFI32 IFE64, ARM EFI вроде), и под каждый вариант надо делать своё меню со своим софтом (у меня пока что только BIOS-загрузка сделана, машинок с UEFI дома нет).

     
     
  • 5.46, Michael Shigorin (ok), 13:22, 18/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, занятно -- я как раз в UEFI PXE и не стал уже копать тогда в 2012... (miniITX-материнку в Москве могу одолжить для стендика, специально тогда покупал, а сейчас на полочке лежит)
     

  • 1.14, Аноним (15), 07:17, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > гипервизор на языке Rust

    Ну наконец-то! А то мы уже беспокоились, что давно ничего достаточно хипстерского не анонсировали.

     
     
  • 2.22, пох (?), 08:04, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    возможно оно будет виснуть пореже чем tomcat в vmware ?
    Насколько можно понять, весь этот хруст там для управления, а внутри как была kvm, так и осталась.
    Без qemu, похоже. Вот ее и заменяют хрустоподелкой.

     
  • 2.40, Ordu (ok), 16:04, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, наконец-то! А то я уж беспокоился, что новость с упоминанием Rust'а, а никто не отреагировал на Rust.
     

  • 1.16, Онаним (?), 07:34, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Чем бы дитя ни тешилось, лишь бы дыры из процессоров не выпиливало.
     
  • 1.28, Аноним (28), 09:31, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Обалдеть, Google пишет на Rust. Их там, что бешеная лисичка покусала? )))
     
     
  • 2.33, Аноним (33), 11:09, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Google очень большой - в нем и програмисты на Visual Basic может есть ...

    Проблема Go что kernel на нем не написать а вот на rust можно...

     
     
  • 3.39, ryoken (ok), 14:29, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Google очень большой - в нем и програмисты на Visual Basic может
    > есть ...

    Надеюсь, на GWBasic хотя бы нету :D.

     

  • 1.44, Аноним (44), 11:02, 17/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Очередной комбайн. Coreboot хватит всем
     
     
  • 2.47, Michael Shigorin (ok), 13:23, 18/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, у меня одни знакомые могут быть заинтересованы в специалистах по коребуту -- если кому охота совместить сколько-то приятное с полезным, можете маякнуть в почту ;-)
     

  • 1.48, actmart (ok), 23:09, 20/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    lf e;!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру