https://ns.opennet.ru/openforum/vsluhforumID3/88402.html Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал (https://lkml.org/lkml/2013/1/28/423) в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot. <br><br><br>Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления. <br><br><br><br>В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Sec https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#100 Thu, 31 Jan 2013 17:21:31 GMT Простое "спасибо" уже режет слух?<br> https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#98 Thu, 31 Jan 2013 11:02:52 GMT Всем ответившим - спасибо за содержательные ответы о TPM.<br> https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#97 Wed, 30 Jan 2013 15:38:11 GMT &gt; По этому использовать TPM для Secure Boot не вариант.<br><br>Ого, значит, я видел запрещенный компьютер. Это что-то типа запрещенных книг, да? <br>Ну да, скоро у нас будет 451 по фаренгейту - http://izvestia.ru/news/543946<br><br><br> https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#96 Wed, 30 Jan 2013 15:35:59 GMT &gt; В bitlocker, вроде, уже сделано.<br><br>Он модуль TPM требует по нормальному. Или как минимум отчуждаемый носитель, что достаточно неудобно, т.к. втыкать-вытыкать флешку с ключом - утомительно. Иначе у него будет та же проблема. <br><br>&gt; Вообще, я немного удивлен, что TPM еще не полностью перетащили в современные <br>&gt; процы. Я думал, что оно уже давно там. %\ <br><br>Это требует энергонезависимой памяти для хранения ключей. А она не любит соседство с греющимся как печка ядром проца. Попросту говоря, флеш-память (ну и все EEPROM-based, как близкие родственники) от нагрева элементарно стирается. Ну вот так вот.<br> https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#95 Wed, 30 Jan 2013 12:55:05 GMT &gt; При установке Linux выбирайте конфигурацию с LVM.<br><br>не пробовал, но слышал, что не советуют для десктопов - как оно?<br><br> https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#94 Wed, 30 Jan 2013 12:53:31 GMT &gt;[оверквотинг удален]<br>&gt; по части корпуса, батарейки и общего качества сборки.<br>&gt;&gt; В моем списке кандидатов он имеется.<br>&gt; В моём -- нет...<br>&gt;&gt; ASUS, ACER, TOSHIBA, Lenovo <br>&gt; Тошибы давненько не щупал, из "японцев" более интересны фуджики (крайне живучие). <br>&gt; Lenovo можно плавно забывать -- эти твари уже убили и IBM-овскую <br>&gt; клаву, а сборка скатилась ещё в T43.<br>&gt;&gt; "Знаки вопроса" <br>&gt; Про ноуты HP слышал от продавцов и знакомых, что БП в последнее <br>&gt; время странно часто летят.<br><br>спасибо за отзыв.<br><br>к сожалению доля выпуска фуджиков сокращается - были хорошие модельки фуджитсу-сименс например.<br><br>Удивляет, что согласно списку фонду-развития линукса среди платиновых партнеров нет ни одной известной модельки из современных (http://www.linuxfoundation.org/about/members)<br><br>Интересно, если они платиновые партнеры, то какова их позиция по UEFI<br> https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#93 Wed, 30 Jan 2013 12:39:21 GMT &gt; почему бы нет? :) <br>&gt; если сервера станут со спичечный коробок, то это было бы одним из <br>&gt; главных технологических прорывов на обозримом горизонте )) <br><br>Оно конечно неплохо будет если так призадуматься, но:<br><br>вы представляете себе сколько тогда предприятий и фирмочек останутся без работы если такое произойдет? Таможням добавится работы - придется обыскивать карманы на предмет ввоза серверов. А дата-центрам что делать? А как хулиганов тогда ловить? И что с вебом будет? Тотальный p2p?<br> https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#92 Wed, 30 Jan 2013 12:32:52 GMT тоже присматриваюсь к asus - не лучший вариант конечно, но более менее из рискованных вариантов.<br><br>Вас тоже клавиши раздражают? - сейчас еще пошла мода цифровой блок клавиш впаривать за счет уменьшения enter или подобных махинаций до крохотных размеров... Извиняюсь за оффтопик, но пошел явно какой-то идиотизм и техно-хамство - тачпад смещенный влево (очень непривычно и неудобно) - дешевые клавиши, видео нвидия или интел - радеон становится редкостью и т.д. и тут еще этот "псевдо-секурный" загрузчик...<br><br>Установка линукса на маки становится довольно не редким явлением в наше время. Но откровенно говоря как достали эти дуал-буты и пляски. Тут еще винда со своим жмотством - нафига создавать такие трудности, когда можно было-б разрешить держать винду на виртуалке... дык нет - фиг поставишь образ - диск не поставляется - ура пляскам с акронисом и им подобными... Интересно, Торвальдс каким ноутом пользуется сейчас...<br> https://ns.opennet.ru/openforum/vsluhforumID3/88402.html#91 Wed, 30 Jan 2013 12:15:50 GMT &gt;&gt; EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?<br>&gt; #78 выше почитайте, быстрый Вы наш гонзалес. GPT и UEFI как <br>&gt; раз и есть досообразные калеки, которые вносят примерно столько же проблем, <br>&gt; сколько и решают.<br><br>GPT-то за что? Он отлично работает даже с BIOS-ами (не знаю, правда, может это и GRUB-овская прослойка, но у меня всё работает, и при этом далеко не новейшее железо и уж точно не UEFI) и убирает архаичные ограничения MBR - не надо усложнять всё расширенными разделами и вообще беспокоиться об их количестве, а также, актуадьно с новыми дисками - о максимальном объёме.<br><br>Ну а UEFI - странная затея в наш XXI век, притом что инициализацию железа можно было вообще операционной системе отдать.<br>