Раскрыты сведения о двух уязвимостях в загрузчике GRUB2, которые могут привести к выполнению кода при использовании специально оформленных шрифтов и обработке определённых Unicode-последовательностей. Уязвимости могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot...Подробнее: https://www.opennet.me/opennews/art.shtml?num=58130
Если злоумышленник разгуливает по твоей квартире и получил физический доступ к компу, уязвимости груба -- далеко не самая главная проблема.
У некоторых рабочие ноутбуки с исходниками и работа в коворкинге.
поставили камеру - сняли твой пароль, и накой еще светить систему шатдаунить?
Двуфакторная авторизация вполне способна защитить от подсмотренного пароля.
Вариант исполнения:
- Пуш-уведомления через гугл-аккаунт.
- Токен и PKCS11.
Пришли ребята с отверткой достали твой hdd, сделали копию и закрутили обратно.Где тут пуш уведомления????
Шифрование разделов? "Не, не слышали!"?
Контрольная сумма на конфиг Груба? "Не, не слышали!"?
Не использовать графическое оформление Grub? "Не, не слышали!"?Если кто-то получил доступ к разделу с грубом, то он получил доступ к файлу initrd.
А теперь главное!
Я ответил на конкретную фразу:
> поставили камеру - сняли твой парольГде в этой фразе что-то про "достали hdd"?
Пришёл начальник и сказал: "Быстро показал, что ты тут делаешь! А то шифруется он, видите ли!".
> Пришёл начальник и сказал: "Быстро показал, что ты тут делаешь! А то
> шифруется он, видите ли!".если ты занимаешься личными делами на служебной технике — ты сам себе буратина. а если это твоя личная техника, то начальник берёт свои предъявы и марширует с ними вон из дверей. а ты, собственно, увольняешься из такой конторы, потому что работать там — себе дороже.
> а если это твоя личная техника, то ...fixed: ты берёшь предъявы начальника и маршируешь с ними вон из дверей. а начальник, собственно, увольняет тебя из своей конторы, потому что работать с тобой — ему дороже.
>> а если это твоя личная техника, то ...
> fixed: ты берёшь предъявы начальника и маршируешь с ними вон из дверей.
> а начальник, собственно, увольняет тебя из своей конторы, потому что работать
> с тобой — ему дороже.И ты уходишь со своим ноутбуком, и всей служебной информацией на нем. А начальник бьется головой об стену, так как к тебе предьяв быть не может, если тебе не выделили служебный комп.
ну если нарушишь NDA то предъявы легко тебе прилететь могут хоть твой ноутбук хоть не твой
> ну если нарушишь NDA то предъявы легко тебе прилететь могут хоть твой
> ноутбук хоть не твойNDA не может действовать без договора об аренде оборудования (ноутбука), или предоставлении служебного оборудования.
Если я у тебя на работе работаю на личном ноуте свой жены, подаренным ее тестем, а жена возьми и этот ноутбук продает подруге, а та публикует информацию с него, то кто виноват в сливе? Только ты, так как не обеспечил меня служебным ноутом.
> и всей служебной информацией на немЭдак ты в суде будешь доказывать, что ты не слон.
>> и всей служебной информацией на нем
> Эдак ты в суде будешь доказывать, что ты не слон.Или бывший начальник будет доказывать, что он не воровал у меня ноутбук.
Вот поэтому в нормальных организациях под подпись выделяют компьютеры, телефоны, дают доступ к почте, а при увольнении сотрудника все это у него забирают, чтобы в случае чего в суде показать бумажку, что у работника был служебный комп, и зачем он скопировал что-то себе пусть он рассказывает. А пока этого нет, нет договора, что он на личном ПК будет работать (то есть договор на аренду ПК, что никакой начальник не подпишет, так как придется доплачивать за него), все информация на компе бывшего работника его личная.
>> и всей служебной информацией на нем
> Эдак ты в суде будешь доказывать, что ты не слон.Господа так хорошо описали почему фрилансеров столько развелось. Прикиньте, там можно на своем ноуте делать что угодно и никаким начальникам доказывать ничего не требуется. Конечно, если совсем уж жесткую фигню сотворить то злой клиент наверное может в суд подать, но это еще постараться надо будет.
> И ты уходишь со своим ноутбуком, и всей служебной информацией на немИ если эта информация от тебя куда-то вдруг упорхнёт или ты по глупости решишь ею воспользоваться для личного обогащения, то сможешь даже присесть по 183 ук рф до трёх лет. Даже если это твой личный комп. Такая вот неожиданность для всех оскроблённых борцунов за личное.
>> И ты уходишь со своим ноутбуком, и всей служебной информацией на нем
> И если эта информация от тебя куда-то вдруг упорхнёт или ты по
> глупости решишь ею воспользоваться для личного обогащения, то сможешь даже присесть
> по 183 ук рф до трёх лет. Даже если это твой
> личный комп. Такая вот неожиданность для всех оскроблённых борцунов за личное.Информация, которая оказалась на личном устройстве по причине того, что работодатель не предоставил служебное устройство, без договора аренды устройства, априори не может попадать под закон об охране коммерческой тайны.
Тоже самое и с почтой. Если работодатель шлет на личную почту закрытую информацию, то он сам-себе идиот.
>Где тут пуш уведомления????Через день на подвале паяльник сделает push-уведомление.
> Двуфакторная авторизация вполне способна защитить от подсмотренного пароля.
> Вариант исполнения:
> - Пуш-уведомления через гугл-аккаунт.
> - Токен и PKCS11.много ты видел двухфакторных аутенфикаций под линукс?
что-то я не помню, чтобы pam_usb активно развивался
а если инета нет или тебе войти в систему надо на которой отвалилась сетка после очередного обновления
я в теории тоже умный, и хотел бы попробовать аппаратные ключики (вместо или вместе с паролем), но даже тот же sedutil их не поддерживает
Много.
Например у Рутокена есть двуфакторка, работающая в Альте, Астре, РедоОС, Росе, Калькулейт без интернета. (Для Debian (Ubuntu, Mint), Fedora (RHEL, CentOS), Арч нужно собирать либы для работы с рутокеном.) Инструкцию найдешь на оффСайте Рутокена. Для Альта ищи статью "Локальная аутентификация в ALT Linux 9.0 и новее по Рутокен ЭЦП". По секрету скажу, что работает она и для ESmart, только другая либа нужна. Для Роса на их вики есть статья "2FA" (читал, но не проверял, говорят, что работает и инструкция рутокена для Альта). В Калькулейт не я настраивал - где у них инструкция про 2ФА - ХЗ.У Альта есть двуфакторка, которая работает с доменом AD (хоть MS AD, хоть Samba). Для MS AD инструкция есть на сайте Рутокена в статье "Настройка 2ФА на рабочих станциях Linux в домене Windows с помощью Рутокен ЭЦП". Для Samba AD инструкция у интеграторов Альта есть. (Можно спросить в группе Альта в телеге.- там интеграторы иногда тусуются. Или спросить у Михаила Шигорина контакты знакомых интеграторов.) Она гарантирована будет работать в любой ОС, где есть либы рутокеновские.
Для ALD инструкция в базе знаний Астры: "Рутокен: Настройка двухфакторной аутентификации в домене Astra Linux Directory".Есть двуфакторка с токеном в FreeIPA. Инструкцию можно найти на сайте RedHat. (За неимением необходимости 2ФА в домене FreeIPA не читал ее.)
Лично у меня ключ для локальной 2ФА записан на карте УЭК - единственное, для чего ее можно использовать сейчас, если она живая.
pam_u2f сто лет в обед. А pam_oath еще больше.
> pam_u2f сто лет в обед. А pam_oath еще больше.pam_u2f надо попробовать, только определиться с вендором
а оаuth это как бы вообще не про USB
и как насчет key+password для LUKS и sedutil, там тоже есть u2f? в эту сторону копал?
> и работа в коворкингеВ каком это ещё коровнике?
Общежитие это. Модное направление пришедшее из Коммунистических Штатов Америки.
Общежитие - это коливинг. А коворкинг -это общественный офис и т.к. своего короткого названия для данного помещения у нас нет, то прижился именно западный "коворкинг". Но печалит даже не это, а то, что деЭФФЕКТИВНЫЕ менеджеры просто копируют западную людоедскую корпоративную культуру и натягивают её на наши реалии. Ничего своего нет даже там, где материальные затраты не особо требуются.
> деЭФФЕКТИВНЫЕ менеджеры просто копируют западную людоедскую корпоративную культуруПотому что она их и научила так делать. Потому что _людоедская_.
Эта людоедская культура создала UNIX, TCP/IP и многие другие забавные вещи вроде электростанции.Разумеется, "коворкинг" — неправильное слово. Исконное русское слово: "изба-читальня".
Скорее рабочий дом тогда уж. Кому ваше читание уперлось без всего остального?!
Общежитие -- это коливинг, а коворкинг -- это читальный зал библиотеки.
Использовать secure boot вместо luks это такое... У тебя накопитель проще выдернуть тогда.
Его довольно сложно использовать "вместо", т.к. они защищают от совершенно разных угроз. И, к слову, надежное использование LUKS требует SecureBoot, иначе можно подменить загрузочный код и слить ключ шифрования диска.
таких не жалко
Если у в каком-то коворкинге силой "отжимают" ноутбуки — просто не ходите туда.
> Если у в каком-то коворкинге силой "отжимают" ноутбуки — просто не ходите
> туда.Не, ну чо ты вот прям, как неправильный пацан - на срок разводишь на пустом месте.
Зачем отжимать-то по жесткому? Мы ж не беспредельщики какие. Да и поднимешь ты с того ноута копейки, он же ж не макбук себе купил а дерьмо китайское в бл-ском ветре.
Пошел чувак к кофейному автомату, ну дальше сам сообразишь. Ну вернулся, продриставшись с того кофия, видит, перезагрузился его недоноут - ну там же ж linoops, он и не удивится нифига.
(глядя на 3 месяца аптайма) совсем не удивится. Это ж не винда которая лучше знает когда тебе ребутаться пора, а когда на горшок и баиньки.
Зачем сразу в квартире? Просто в офисе на перекур выйти.
И не обязательно чтобы там был гадюшник, достаточно одной обидчивой крысы среди сотни хороших коллег.
"Обидчивой крысе" проще полить чужой ноутбук минеральной водичкой. Дешево и сердито.
> "Обидчивой крысе" проще полить чужой ноутбук минеральной водичкой. Дешево и сердито.И где бабло?!
Адресат пакости на него основательно попадет. В чем видимо суть и состоит.Особо утонченные, впрочем, покупают usb-killer. Что угодно с usb превращается в тыкву, а почему - поди там разберись, следов минералки эта штука не оставляет.
Не бaги, а фичи!
https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...https://www.linux.org.ru/forum/security/16186815?cid=16190043
1. Нет там эксплуатируемых багов!
GRUB2, с включенной Integrity, верифицирует по публичному ключу все что грузит, модули, конфиги, шрифты. Следовательно вирусный шрифт или конфиг он не загрузит.2. Использовать чужие ключи в Integrity нельзя!!!
3. Не существует математического алгоритма применения верификации с использованием открытого/закрытого ключа позволяющего подписать одну прокладку shim и иметь верификацию по цифровой подписи измеряемого на стороне клиента initrd!
Не обманывайтесь сами!
Чтобы была НЕПРАВЕЛЬНАЯ верификация загрузки Linux, M$ необходимо заверить core.img от GRUB2 который включает публичный ключ вашего дистрибутива и это надо сделать для каждого дистрах или добавить все ключи дистров и необходимые модули в один общий core.img, а дистрибутивам создать и подписать единый initrd для всех пользователей. Провал одного дистра или M$ означает провал сразу ВСЕХ установок!4. Не хотите зависит от чужих ключей? Тогда используйте Integrity правильно:
https://www.linux.org.ru/forum/security/16550382?cid=16564526
https://www.linux.org.ru/forum/security/16550382?cid=16567177
> Не существует математического алгоритма применения верификации с использованием открытого/закрытого ключа позволяющего подписать одну прокладку shim и иметь верификацию по цифровой подписи измеряемого на стороне клиента ...grub.cfg его точно одним для всех не сделаешь, у каждого свои настройки и свой пароль на GRUB. Так что идея подписать часть загрузчика пподписью M$ и иметь верифицированный процесс загрузки математически не реализуема.
Следовательно единственный вариант верифицированной загрузки это использование ПОЛЬЗОВАТЕЛЬСКИХ ключей для: Intel Boot Guard, UEFI Secure Boot, GRUB, Linux IMA/EVM.
> 3. Не существует математического алгоритма применения верификации с использованием открытого/закрытого
> ключа позволяющего подписать одну прокладку shim и иметь верификацию по цифровой
> подписи измеряемого на стороне клиента initrd!На самом деле достаточно хорошо известны алгоритмы, позволяющие подписать, расшифровать, перевести на какой-то счёт все биткониы и так далее. Стойкость основана на необходимом количестве ресурсов.
В общем, поменьше восклицательных знаков, ВСКРИКОВ и лозунгов. Побольше науки.
Аноним опенннета не ошибается. Речь идет о алгоритме верифткации с помощью открытого/закрытого ключа. В случае с GRUB2 это RSA-4096.Невозможно, нет математического алгоритма, с помощью которого можно имея прослойку подписаную M$ shim верифицировать измененный клиентом grub.cfg.
Потому что Integrity, разработанное людьми, подразумевает, что все ключи создает пользователь.
> На самом деле достаточно хорошо известны алгоритмы1. Серёга, анонима на опенннета банить неприлично!
2. Серёга, речь идет о гарантиях верифицируемой загрузки. Они реализуются людьми с помощью использования технологии подписи закрытым ключом при установке и верификации открытым ключом при загрузке.
Вот полная цепочка доверительной загрузки: https://www.linux.org.ru/forum/security/16550382?cid=16567177
Вот принципы Integrity: https://www.linux.org.ru/forum/security/16550382?cid=16564526
Математика точная наука и однозначно доказывает отсутствие алгоритмов верификации измеряемого клиентом grub.cfg в случае использования подписанной M$ прокладки shim!!!
Да, после того как потеринг похерил процесс инициализации в некоторых дистрах Линукс своим systemd он получил новый заказ - похерить процесс верифицированной загрузки: https://www.opennet.me/openforum/vsluhforumID3/128763.html#433
Ничего не понял. Если меняешь шрифты и надписи в grub,
то либо у тебя есть права root или физический доступ к диску.
В чем уязвимость-то если пользователь с правами root может что-то сделать?
Внезапно, диск может оказаться шифрованным. А подсунуть другое ведро не дает secure boot.И вот, твой ноутбучек взяли погонять на пару минуточек строгие дяденьки в аэропорту - а когда вернули - он уже и не совсем твой. И без всяких лишних следов.
Ну и других векторов - прослеживается.
И все, как обычно, из-за альтернативно-одаренных, которым в boot loader понадобились нескучные шрифтики и unicode, которые там нахер никому не нужны кроме таких же как они.
А как шрифты поменять если они на шифрованом разделе?
/boot очевидно не шифрован
Это конечно же не правда.
/boot шифрован у тех кому это не побарабану.
А вот /boot/efi не шифрован. Но казалось бы, что там должны быть только подписанные вещи, ну и мини grub.cfg для указания того что расшифровывать и где потом искать полнценную систему и полный grub.cfg.
> И вот, твой ноутбучек взяли погонять на пару минуточек строгие дяденьки в аэропорту - а когда вернули - он уже и не совсем твой. И без всяких лишних следов.Ну взяли и что? Что они за пару минут сделают без прав /root?
А влезая в ноутбук "физически" они вообще-то гарантиую могут нарушить,
и даже если на возможный суд им наплевать, то сорванную пломбу они вряд
ли восстановят. Или мы рассматриваем невероятный вариант,
что у них там в подсобке еще и склад всех возможных наклеек от всех производителей,
и еще они умеют все отклеивать и приклеивать не оставляя следов?
для физического влезания в ноутбук не обязательно снимать крышку, есть порты типа USB3 с прямым доступом к оперативной памяти.
плюс можно банально загрузиться с виндовой флешки, если юзер не удалил майкрософтовские сертификаты из базы Secure Boot, и записать своё добро в нешифрованный раздел /boot и/или /boot/efi
Вот что всегда неприятно удивляло в (U)EFI - так это почему для ESP выбрали самую тупорогую из существующих ФС... (на тех же маках, по крайней мере с Интел-процами, ESP вроде как может быть HFS, но туда не все нужные ОСи писать могут)
В данном случае - чем проще, тем надёжнее. NTFS с альтернативными потоками данных (ADS) там не понятно кому нужна и зачем.
> Вот что всегда неприятно удивляло в (U)EFI - так это почему для
> ESP выбрали самую тупорогую из существующих ФС... (на тех же маках,
> по крайней мере с Интел-процами, ESP вроде как может быть HFS,
> но туда не все нужные ОСи писать могут)FAT - идеально подходящая ФС для загрузчика, потому что описывается тремя с половиной строками кода и будет работать на любом типе хранилища, в любой OS/RTOS, на любой архитектуре процессора, в отличие от ваших стильных-модных.
> FAT - идеально подходящая ФС для загрузчика, потому что описывается тремя с
> половиной строками кода и будет работать на любом типе хранилища, в
> любой OS/RTOS, на любой архитектуре процессора, в отличие от ваших стильных-модных.А UDF какой типа 1.5 если? Или более ранний, 1.02 кажется.
Если у сотрудников правоохранительных органов возникли к Вам вопросы — в любом случае на свой авиарейс Вы уже не успеете.
если к твоему устройству получили физический доступ без твоего надзора — это устройство автоматически считается скомпрометированым. совершенно уже без разницы, патчено там что-то или нет.
Широкий взгляд на вещи. Но я вот полагаю, что если там винда со включеным битлокером - подсунуть мне что-нибудь теоретически могут рептилоиды, а обычным хмырям в погонах ничего там не светит.Здесь же - любой скрипт-кидди справится. Шрифтик, с-ка, им понадобился, нескучненький...
В той вот херне которая показываэт этим шрифтиком - мигающий курсор, в модных-современных системах.
> Широкий взгляд на вещи. Но я вот полагаю, что если там винда
> со включеным битлокером - подсунуть мне что-нибудь теоретически могут рептилоиды, а
> обычным хмырям в погонах ничего там не светит.
> Здесь же - любой скрипт-кидди справится. Шрифтик, с-ка, им понадобился, нескучненький...
> В той вот херне которая показываэт этим шрифтиком - мигающий курсор, в
> модных-современных системах.как раз для работы с мейнстримом у хмырей в погонах есть и аппаратура и софт, а для кастомных загрузчиков и шифрований - весьма маловероятно.
такой большой а в такие глупые сказки верит..."у нас есть ТАКИЕ приборы! Но мы никому не покажем."
Очень даже показывают. Вот к примеру статья с картинками даже. Первое,что нагуглилось https://www.amazingstoriesaroundtheworld.com/2018/03/how-pol... 2018-го года правда, но есть и более современные вещи.> How Police Officers Can Use A Machine To Extract All Kinds Of Information From Phones In MINUTES Without A Warrant And With 'No Limit On The Volume Of Data'
Для обычных компов (ноутбуков) тоже, что-то такое есть. Если интересно, сам ищи.
Думаешь "хмыри в погонах" - сплошь "какиры в законе" :))) готовые на лету за пару минут разобраться в любых кастомных решениях? Так что обломаться могут даже если ничего не зашифровано, а просто стоит малоизвестная операционная система и файловая система, которые их девайсами не поддерживается.
> Очень даже показывают. Вот к примеру статья с картинками даже. Первое,что нагуглилосьна картинке для начала - анлокнутый гуглофон.
Я тебе с такого что хошь сопру без всяких чудо-гаджетов размером с чемодан.Кроме картинок - ноль информации, одна истерика.
> Для обычных компов (ноутбуков) тоже, что-то такое есть. Если интересно, сам ищи.
картинки и истерики? Да, сто пудов что-то такое и найдется.
А вот подложить тебе "шрифтик" действительно невеликая проблемка. Ничего кастомного в типовом лиnoopsном сетапе в помине нет. Можно автоматизировать, пожалуй.
Люди в погонах - всем хакерами хакеры. Засунут паяльник в задний проход и никакая защита не устоит. И это далеко не фигура речи...
> такой большой, а верит, что в винде нет бэкдоров для law enforcements
Вы слушали мнения секты англичанка гадит, во всем виноваты }|{-ды рептилоиды.До сих пор не было ни единого случая чтобы какое-то "law enforcement" справилось с битлокером, сюрприз.
Ну, разумеется, это потому что они всех с кем справились - убили и съели!
> Вы слушали мнения секты англичанка гадит, во всем виноваты }|{-ды рептилоиды.
> До сих пор не было ни единого случая чтобы какое-то "law enforcement"
> справилось с битлокером, сюрприз.
> Ну, разумеется, это потому что они всех с кем справились - убили
> и съели!если ты не знаешь про эти случаи, это ещё не значит, что их не было.
Рептилоидам не нужно никаких бэкдоров - они читают прямо твой моск. (если бы был...)Если ты про это не знаешь, это еще не значит что их нет!
> До сих пор не было ни единого случая чтобы какое-то "law enforcement"
> справилось с битлокером, сюрприз.Если сменить пароль, сколько проходит времени? Так можно определить, перешифровывает ли новым ключом раздел, или всего лишь ключ. И на этом основании строить гипотезы с претензией на научность.
> Ну, разумеется, это потому что они всех с кем справились - убили
> и съели!Не надо на эту тему даже пытаться шутить. Меня пока не получилось убить. Повезло, что последний в очереди https://github.com/DavidXanatos/DiskCryptor/blob/40c949a50e6...
> До сих пор не было ни единого случая чтобы какое-то "law enforcement"
> справилось с битлокером, сюрприз.Как истинность этого заявления изучалась, интересно? Ну и в свое время MS прославился с своим шифровнием recovery-сертификатами. При том они поначалу вроде не только админу позволяли такое выписывать но и себе. Ну его нафиг таких криптографов.
>Широкий взгляд на вещиприведу аналогию на заявления товарища выше: "если передавать шифрованные данные по открытому каналу, то они скомпрометированы, их надо передавать по квантовому" :)
> И все, как обычно, из-за альтернативно-одаренных, которым в boot loader понадобились нескучные
> шрифтики и unicode, которые там нахер никому не нужны кроме таких
> же как они.Мне нужны. Для такого я располагаю глифы в массиве char. Для кириллицы хватит места в исполняемом файле, для латиницы тем более. Но белый господин решил поуправлять миром, а обслуживающий персонал захотел ещё этих халявных одеял, да побольше.
Строгие дяденьки в аэропорту интересующий их ноутбук берут погонять вместе с носителем всех паролей к этому ноутбуку. Если таковой начинает проявлять строптивость - следующий полёт у него может быть лет через несколько (если не считать полёты за счёт бюджета в компании строгих дяденек).
ох уж эти русские сказочники...
В реальности худшее, что тебе светит — вернуться тем же бортом в страну вылета и испорченный отпуск. И то, для этого надо чтобы строгий дяденька знал про твои похождения ещё до твоего прилёта. Неуловимые Джо с линуксом дяденек не интересуют вообще никак. Максимум попросят лаптоп включить и на всякий случай на следы наркоты проверят, и даже это не потому, что у тебя линукс зашифрованный, а потому, что в твой древний thinkpad можно много героина спрятать.
https://www.theguardian.com/uk-news/2017/sep/25/campaign-gro...
Просвещайся, фантазёр.
> https://www.theguardian.com/uk-news/2017/sep/25/campaign-gro...
> Просвещайся, фантазёр.Это - гражданин UK, прежде всего. И послал он - собственную полицию. И осужден (к аж 600 евровому штрафу) дома.
Причем подозрения в терроризме совершенно оправданы, поскольку араб, якшается с террористами или как минимум теми кого не сумели от них отличить, и тормознули его в аэропорту совершенно неслучайно, а очень ждали.
А его заявлениям что там кого-то пытали (второй раз тебе, курво, пытаю!) и он очень берег эти данные (хм? Разьве они не для публикации были предназначены? Где они, кстати, публикации-то?) - ну суд с третьего раза решил - не поверить.
Поскольку с одной стороны заявления, а с другой - араб из арабской страны, якобы ездивший на свадьбу, только почему-то притащивший с нее что-то совершенно к свадьбе не относящееся. И задерживают его уже В ТРЕТИЙ раз.
Угадайте, чему поверил суд.
Пароли, с-ка, так и не сказал!
(И уп-с, все бэкдоры проклятой microsoft - не помогли их получить. Вот те на!)
Араб якшается с террористами, латинос банчит коксом, у русского в ноуте ключи управления ботенетом, у китайца сп*зженные технологии, и так далее. У всех есть что в ноуте поискать. "Русские хакеры" (тм), которых пачками отлавливают и выдают в США, тоже считали, что максимум, на что они могут нарваться, это отказ во въезде.
> второй раз тебе, курво, пытаю!"Другий" же!
> Араб якшается с террористамиИменно этот - подтверждено же ж им самим, что да. Т.е. теперь ДВЕ галочки - и араб, и якшается. И третья - из нехороших мест прилетел.
> латинос банчит коксом, у русского в ноуте ключи
ну в целом, если и тут у каждого по две галочки - латинос и уже имел проблемы с коксом (вернее кокс имел с ним проблем), или уzzкий, уже засветился тусовками где не надо, и первый колумбийским рейсом а второй э...беларуским или тоже уже всьо? - то да, могут попросить на разговор.
А одной не хватит, язык отсохнет со всеми разговаривать.
> есть что в ноуте поискать. "Русские хакеры" (тм), которых пачками отлавливают
> и выдают в США, тоже считали, что максимум, на что они могут нарваться, это отказ во въезде.Ну так не будь м-ком же ж? Ну и тоже мне, пачками... пять штук за год.
"один ломтик фри из пачки".
> "Другий" же!Помилився, буваэ. В м0скальской языковой среде вечно скатываешься на суржик даже в цитатах. (интересно, а где я прогадил учебник? Был же ж... Ненароком найдут раньше меня, хрен отмажешься...)
Полно дуриков которые кардят полпланеты, считая море по колено, потом анб и фбр надоедает, "неуловимых джо" вычисляют и начинается тот сказ. Тот же античат несколько раз сливали со всеми потрохами, при том некоторые господа сами же на себя все и выкладывали. О том что за это их могут взять за жабры они почему-то задумываются когда погранец именно это и делает.
> И все, как обычно, из-за альтернативно-одаренных, которым в boot loader понадобились нескучные
> шрифтики и unicode, которые там нахер никому не нужны кроме таких же как они.GRUB похож на мини операционку по смыслу. Однозадачную, тематическую. Все б ничего но остальным зашло, поэтому тебе такое прямо в ROM зашили, обозвав UEFI. И сколько там и чего в этом счастье - а ты апдейты на этот хлам чекал вообще? Примерно то же самое, тоьлько мутнее, проприетарнее и вообще фиг дождешься ченжлогов. Заткнут дюжину вулнов и сделают рожу кирпичом. Или даже не заткнут - скажут что срок поддержки истек, купите новый ноут, комп, или что там.
Теперь это "уязвимость" обойти Secure Boot
Не успели опомниться от уязвимостей в иконках, как они нам уже шрифты подсовывают.
Да этот shim уже сам по себе дыра конкретная. Я в принципе так и думал. По сути чуваки обходят тот самый механизм secure boot, который и должен нас защищать, просто чтобы не морочится с подписыванием. Ога.
вас защищает винда и макось.
> вас защищает винда и макось.да. И внезапно, у них это получается неплохо.
А ведь когда-то... впрочем, бестолку грустить. Надо менять профессию.
Secure Boot не защищает пользователя. Он защищает производителя ПО от несакционированной модификации этого самого ПО. В том числе от модификаций, производимых пользователем.Сколько же вас, криптодурачков, наивно верящих, что компании, придумавшие DRM заботятся о ВАШЕЙ безопасности?
И да Secure Boot - это фрагмент этой самой многоуровневой DRM.
Запомни, ты не покупаешь железо, ты не покупаешь софт, установленный на нём. Ты всего лишь приобретаешь возможность попользоваться товаром, причём попользоваться по правилам, написанным производителем и не более, чем какой-то срок - "срок службы" прибора. Мало того - купив такое разрешение, ты даже не покупешь себе разрешение пользоваться полноценно установленной ос - подписка, вот что тебе поможет. За отдельно стоящий стакан ты получаешь windows as a service та том устройстве, которое ты "не-покупал" но заплатил свои кровные. А дальше - всё по подписке и на время. Музыка, фильмы, программы, сервисы - ты должен платить, платить, платить.
Это Digital Rights Millenium, где эти самые права есть только у владельцев контента и сервисов, а у потребителя никаких прав нет, только обязанность платить.
>[оверквотинг удален]
> по правилам, написанным производителем и не более, чем какой-то срок -
> "срок службы" прибора. Мало того - купив такое разрешение, ты даже
> не покупешь себе разрешение пользоваться полноценно установленной ос - подписка, вот
> что тебе поможет. За отдельно стоящий стакан ты получаешь windows as
> a service та том устройстве, которое ты "не-покупал" но заплатил свои
> кровные. А дальше - всё по подписке и на время. Музыка,
> фильмы, программы, сервисы - ты должен платить, платить, платить.
> Это Digital Rights Millenium, где эти самые права есть только у владельцев
> контента и сервисов, а у потребителя никаких прав нет, только обязанность
> платить.всё вышесказанное было актуально, когда только появлялись первые ноутбуки с Secure Boot и предустановленной вендой, куда было невозможно установить линукс.
это было лет 15 назад, уже давно не актуально, но бомбит у вас до сих пор.
> всё вышесказанное было актуально, когда только появлялись первые ноутбуки с Secure Boot
> и предустановленной вендой, куда было невозможно установить линукс.он выключался. не всегда просто.
> это было лет 15 назад, уже давно не актуально, но бомбит у
> вас до сих пор.Причем они искренне не вкурсе КТО пожертвовал своей репутацией чтобы у них появилась возможность устанавливать свое ненужно.
> он выключался. не всегда просто.На планшетках с виндой, особенно армовых, таки вообще совсем не. Цель сделать вам таким красивым очередной ипончик. Где вы будете сидеть как зайцы по кустам, молиться на 1 хозяина, и покупать все в его сторе. В перерывах между выпрашиванием активации и подтверждением аккаунта по телефонному номеру, разумеется. Дурной пример заразителен и он уже даден эпплом.
>15 лет назадhttps://learn.microsoft.com/en-us/windows/security/informati...
Да не нужен же этот груб! Ядра давно научились грузиться прямо из UEFI. Ну а тем, кто сидит на некрожелезе могу только посочувствовать...
каждые пять минут менять железо?
Хотя бы раз в 10 лет попробуй.
> Да не нужен же этот груб! Ядра давно научились грузиться прямо из
> UEFI. Ну а тем, кто сидит на некрожелезе могу только посочувствовать...местным старпёрам не объяснить. им всё, что свежее Lilo и sysVinit - плохо.
> Да не нужен же этот груб! Ядра давно научились грузиться прямо из
> UEFI.Ну а тем у кого после очередного обновления на свежайшее только что из под хвоста альтернативно-одаренных разработчиков оно не загрузится - можно побыстрому переставить систему...ой, не загружается с флэшки? Ну я даже прям и не знаю. Выпаивай ssd.
>> Да не нужен же этот груб! Ядра давно научились грузиться прямо из
>> UEFI.
> Ну а тем у кого после очередного обновления на свежайшее только что
> из под хвоста альтернативно-одаренных разработчиков оно не загрузится - можно побыстрому
> переставить систему...ой, не загружается с флэшки? Ну я даже прям и
> не знаю. Выпаивай ssd.арчепроблемы. попробуй сидеть на стейбл релизах.
А command line ядра как править?
> А command line ядра как править?согласно последним постановлениям партии - нинуна!
(и, кстати, таки да - а как его передать в efistub загрузке? Подозреваю что как обычно.)
> согласно последним постановлениям партии - нинуна!Зато секурно. Попробуй init = /bin/bash и passwd root теперь?! А то что при случае комп придется поменять, если ssd был впаян - производители одобряют.
Зачем нужен grub на UEFI?
Есть же EFIStub и efibootmgr.
Говно из жопы. На многих ноутах нет ручного редактирования всего этого в BIOS-е (ну в смысле в УЕФИ сетапе).У меня прям лично брикнулся один ноут из-за того, что загрузочная запись линукса из УЕФИ слетела, загрузка с USB из-за каких-то глюков того же УЕФИ принципиально перестала работать, а ручного редактирования не было предусмотрено в принципе. )
И всё ноут в мусор. Удобно!
Как же так, можно же ЛЕГАСИ БИОС КОМПАТИБИЛИТИ включить и загрузиться нормально.
> Как же так, можно же ЛЕГАСИ БИОС КОМПАТИБИЛИТИ включить и загрузиться нормально.Его уже отпиливают. На моём (пока без ОС) HP на Ryzen-е про CSM/Legacy я чёт не видел слов.
Это новый Ryzen с Микрософт Плутон?
> Это новый Ryzen с Микрософт Плутон?Надеюсь нет, лоуэнд, вроде бы оно Ryzen 3 3500. Я его включал-то пару раз, как приволок из сельпо, время куда-то пропадает :).
На планшетах с Атомами в 2014-м выпиливали CSM/Legacy. Объяснение было странное - якобы, железо слабое, потому 64-х разрядная Виндос там не нужна. На деле из-за этого появлялась проблема с установкой Линукс. В следующем поколении Атомов вернули поддержку 64-х бит. Странные телодвижения, может прощупывали общественное мнение.
> На планшетах с Атомами в 2014-м выпиливали CSM/Legacy. Объяснение было странное -
> якобы, железо слабое, потому 64-х разрядная Виндос там не нужна.Мда... где 64-битная винда и где слабое железо...
> На планшетах с Атомами в 2014-м выпиливали CSM/Legacy. Объяснение было странное -я тебе страшную тайну открою, но хепешный десктоп без всякого csm и в помине у меня был сделанный явно не в 14м.
> якобы, железо слабое, потому 64-х разрядная Виндос там не нужна. На
но с csm это ни малейшим образом не связано.
> деле из-за этого появлялась проблема с установкой Линукс.
потому что л@п4ые рукожопики ниасилили 32bit uefi.
И вообще он нимодна-нимодна и давайти выпилим.И выпилили. Но это все происки проклятой microsoft, смотри не перепутай!
Лично блин гейц через 5g сеть отдал приказ прямо в моск (хахаха, лошара, был бы там моск...) уничтожить сперва x32abi, а потом и вообще прикончить поддержку любых 32битных систем, и уж тем более никому никогда не писать для них uefi загрузчик.
> В следующем поколении Атомов вернули поддержку 64-х бит.
поскольку 4гиговики стали немного немодными.
Но конечно тут опять происки врагов.
> ниасилили 32bit uefi.А зачем было обеспечивать поддержку 32bit uefi в Linux, когда железок с ней в природе не было почти?
> уничтожить сперва x32abi,
Это AMD64 с указателями 32 бита. Оно не взлетело из-за JIT-компиляторов в JS, кстати.
> поскольку 4гиговики стали немного немодными.
Они и были 4 Гб максимум, обычно 2.
>> ниасилили 32bit uefi.
> А зачем было обеспечивать поддержку 32bit uefi в Linux, когда железок с
> ней в природе не было почти?Ложь. Куча китайских планшетов на базе Bay Trail с процессором Intel Atom. Которые в состоянии грузить только ia32.efi файлы. Был на руках такой недавно, там Windows 10 1609 Home Edition которая после старта кушает 600 мб озу (из 2гб доступных распаянных на микро-материнке). А старый Microsoft Edge (тот что НЕ на хромиуме) запускается в долю секунду практически моментально и работает прекрасно.
По текущему состоянию десктоп линукс просто курит в сторонке от своей перегруженности python/perl скриптов, работающих в фоне, засирающих кеш озу и процессор.
>>> ниасилили 32bit uefi.
>> А зачем было обеспечивать поддержку 32bit uefi в Linux, когда железок с
>> ней в природе не было почти?
> Ложь. Куча китайских планшетов на базе Bay Trail с процессором Intel
> Atom. Которые в состоянии грузить только ia32.efi файлы.Зачем ты это пишешь? Ты не прочитал выше в моём сообщении «на планшетах с Атомами в 2014-м выпиливали CSM/Legacy» или не понял смысл «якобы, железо слабое, потому 64-х разрядная Виндос там не нужна»? Поздравляю тебя, т.к. другой человек всё прекрасно понял.
Хватит врать. 32 битный uefi прекрасно грузит 64 битное ядро линукс.
> Хватит врать. 32 битный uefi прекрасно грузит 64 битное ядро линукс.Вот и не ври, путая 2014-й год с 2022-м. Иди вот тут https://4pda.to/forum/index.php?showtopic=650808 сочиняй, как оно прекрасно грузилось
>> Хватит врать. 32 битный uefi прекрасно грузит 64 битное ядро линукс.
> Вот и не ври, путая 2014-й год с 2022-м. Иди вот тут
> https://4pda.to/forum/index.php?showtopic=650808 сочиняй, как оно прекрасно грузилосьа что, щас лучше стало что-ли?
2014й: нихрена не работает потому что надо загрузиться ну хоть как-нибудь, а нормальных дистрибутивов которые это умеют - практически нету, хотя 32бита сами по себе (которые как раз не особо нужны) поддерживаются еще всеми подряд.
2022й: нихрена не работает....по тем же самым причинам. Только теперь нормальных дистрибутивов нет не из-за проблем с начальной загрузкой, а потому что 32бита вообще нимодна-нималадежна.Нет, конечно, нет таких крепостей которые не могут одолеть любители костылепердолинга - но - зачем?!
2014-й год - восьмая венда просто ставится и работает. Да, 32битная, и это в общем не недостаток на такой платформе.
2022-й год - десятая венда все так же просто ставится и работает. Иногда жалуется, что ты почему-то не хочешь ее поапгрейдить (с-ка!)Какую же ж из двух систем выбрать для дрисктопа, если костылепердолинг не интересует - даже и не знаю прямо.
>>> Хватит врать. 32 битный uefi прекрасно грузит 64 битное ядро линукс.
>> Вот и не ври, путая 2014-й год с 2022-м. Иди вот тут
>> https://4pda.to/forum/index.php?showtopic=650808 сочиняй, как оно прекрасно грузилось
> а что, щас лучше стало что-ли?Дык, железки то померли за это время в большинстве своём. Вот и нет проблем. :) Для остальных Hans de Goede таки адаптировал драйвера из интеловского форка ядра 3.15, который Интел забросила. Виндовс там не очень подходит, потому что накопитель всего 32 гига. Ничего не установишь. И при обновлении она его забивает, как пишут (ещё и мрут eMMC, но не факт, что именно из-за ОС, нет статистики). В Линуксе попроще - устанавливать нечего. :)
> Дык, железки то померли за это время в большинстве своём.херасе, это я везунчик, получаетсо? Казалось бы, ЮВА и пинание в мешке по аэропортам не ведут к долгой жизни железок, а моя херня все еще условно живая (есть трудности, но преодолимые).
> Виндовс там не очень подходит, потому что накопитель всего 32 гига. Ничего не установишь.
наоборот, виндовс там очень даже подходит - устанавливается и не жужжит.
А для работы не в качестве удаленной консоли эта вещь никогда и не предназначалась, так что чего ты там аж на 32 гига собрался размазывать - не знаю. У меня чуть не половина занята видосиками с гопро. (в качестве их воспроизводилки тоже вполне ок, у винды-то нет проблемы с интеловской встройкой и vaapi)
>> Дык, железки то померли за это время в большинстве своём.
> херасе, это я везунчик, получаетсо? Казалось бы, ЮВА и пинание в мешке
> по аэропортам не ведут к долгой жизни железок, а моя херня
> все еще условно живая (есть трудности, но преодолимые).В тех атомах какой-то аппаратный дефект, судя по английской странице Википедии. Деградируют транзисторы в USB контроллере. Ну и АКБ дохнут естественно, многим быстрее обновить аппарат, чем менять. А так, оно как в той сказке про курочку Рябу - один бук я ронял-колотил, там аж матрица в углу треснула, а он всё работает, потом кот прилёг сверху поспать и внутри корпуса из карбона лопнул шлейф. Усталость материалов называется. :)
Мне рать что там было в 2014 году, главное как ситуация сейчас с поддержкой того оборудования, еще СССР вспомни.
> Мне рать что там было в 2014 году, главное как ситуация сейчас
> с поддержкой того оборудования, еще СССР вспомни.Сейчас ситуация следующая. Я описал положение дел в 2014-м. Ты зачем-то влез и обвинил меня во лжи, приведя неактуальный на то время пример. Теперь ты делаешь вид, что ничего не понял.
> Мне рать что там было в 2014 году, главное как ситуация сейчас
> с поддержкой того оборудованиятого - возможно уже и никак или очень скоро будет никак.
> еще СССР вспомни.
остальному миру плевать на твои страдания с оборудованием времен СССР.
О, также получил кирпич (Dell) при использование rEFInd. Какой режим legacy? - черный экран и звук кулеров. Пришлось выпаять и перепрошивать чип с UEFI, чтобы заработал.
Посмотрел я на этот мегафикс
+ || width > font->max_char_width
+ || height > font->max_char_height)
они тупо не делали проверку высоты/ширины...накосячили в вычислениях размера
кто б мог подумать что во что-то вроде
> if (max_glyph_size < sizeof (*glyph) + (bounds.width * bounds.height + GRUB_CHAR_BIT - 1) / GRUB_CHAR_BIT)может закрасться ошибка!
в комментах жгут:
"Remove grub_font_dup_glyph() since nobody is using it since 2013, and I'm too lazy to fix the integer overflow problem in it."ну и конечно рукожопство с кастами в десятке мест
- below_rightx = ctx.bounds.x + ctx.bounds.width;
+ below_rightx = ctx.bounds.x + (int) ctx.bounds.width;> hi = font->num_chars - 1;
и привет SIZE_MAX! Удивительно, как же такое допустили
Ну и накосячили в умножении u32 * u32... И это еще не все, дальше уже лень копипастить.
Качество кода огонь! Прям какая-то студенческая поделка.
> Прям какая-то студенческая поделка.Добро пожаловать в современный мир программирования :-)
Но как же так! Эта аппа негласный стандарт. Она установлена на миллионах компов. Ёё писали диды на сишечке! Но ведь...
дид писал когда ему было 16
> Но как же так! Эта аппа негласный стандарт. Она установлена на миллионах
> компов. Ёё писали диды на сишечке! Но ведь...когда они ее писали - там не было нескучных шрифтиков. Это вот все что вы смогли с тех пор понаулучшайкать.
> Качество кода огонь! Прям какая-то студенческая поделка.хуже, это идиоты набранные по квотам во все крупные проекты.
Качество этого кода вполне отражает его полную ненужность в принципе.
Как и 99% всего остального мусора вместе с нескучным скриптоязыком. Как же все же жаль что автор grub1 сделался вечно живой.
> Качество кода огонь! Прям какая-то студенческая поделка.В GNU там везде такое качество. Взгляните, например на код gettext-tools.
> Качество кода огонь! Прям какая-то студенческая поделка.Это ты еще современную вебню не открывал. Там вообще - если оно запускается и не падает при первом заходе юзера уже за счастье, можно в релиз.
Очередной пример того, как можно всё знать про шину адреса и при этом быть плохим программистом. Разница между сишником и растоманом лишь в том, что вторые уже смирились с тем, что управление памятью весьма нетривиальная задача, а первым ещё только предстоит это сделать.
Ну давай, расскажи, что ты знаешь про шину адреса, шину данных и чем они отличаются?
и зачем они нужны одним, а другие обходятся без них
А мне-то зачем? Я ж не программист, боженька миловал.
Один вопрос.В чем проблема, при установке, выделить /boot и /efi на флешку, а весь основной диск сделать luks-контейнером с опцией --deattachable-header (вроде) и положить этот заголовок тоже, собственно, на флешку?
Вставил флешку - загрузился в систему. Все.
Как минимум в том, что это не удобно - всегда занимает порт, которых в современных ноутах мало.
Зачем тебе порты в 2к22 году? Всё ещё флешками пользуешься?
Ну, в type-c подключаются монитор или два, в один usb-a - ключ, в еще одни - хаб с сетевой...
И порты почти кончились!
> Зачем тебе порты в 2к22 году? Всё ещё флешками пользуешься?И даже dvd дисками иногда. А ты все свои данные через облачного "дядю" гоняешь? Ну чтобы он всегда в курсе твоих данных был, а то когда на флешке их носишь дядя грустит, не может узнать, что на ней лежит. Некрасиво.
Я даже телеметрию В w11 включаю в расширенном режиме. Обтекай.
Перейдите на обычную, у нас сервера с таким потоком не справляются.
> Я даже телеметрию В w11 включаю в расширенном режиме. Обтекай.Извините, а вы не могли бы еще и ремот десктоп вывесить, желательно для всех?
Можно и через облако, можно и через p2p. Когда есть доступ к Интернету по разному можно. Это тебе не сидеть всю жизнь за NAT с rfc1918 айпишником и бояться лишний байт по 5G скачать. Про грустного дядю только неясно, у тебя там не только доступ к сети по талонам, но и шифрование? Или в чём прикол?
Облако - это смешные несерьёзные объёмы, иначе дорого. И при любом скоростном интернете, медленне вменяемой флешки. Про мобильный интернет промолчу, плюс безлимитные тарифы доступны только тем, кто их получил ранее, а новые абонентам облачные технологии не доступны.
А беспроводные мыши, клавиатуры, гаджеты, и иже с ними на святом духе ещё не работают? И ни в подщаряде ни нуждаются, ни в свстульках в usb разъёмах?
Зачем всегда? Загрузился и вытащил
Хорошая идея! Аппаратная такая флешка.После загрузки, ОС посылает команду и аппаратно её отключает, без возможности обратного включения. Или делает RO. Тоже вариант.
> ОС посылает команду и аппаратно её отключает, без возможности обратного включения. Или делает RO.А обновлять ядро мы будем... Как?
На стенде, физически отключенном от Интернет.
> А обновлять ядро мы будем... Как?Ребут в специальном режиме когда вон то пропускается и вы можете обновить а потом залочить до ребута. Режим Lockdown примерно так и работает, но он не про readonly. Впрочем fs_verity каким-нибудь можно аналог этого изобразить.
а потом китайская флэшка сдохла.
Сейчас всё делаетсЯ в Китае, даже микросхемы для Secure Boot
Не понимаю, зачем это всё. Берется диск, шифруется любой программой с применением аппаратного ключа. Чтобы загрузить ОС нужно вставить ключ и ввести пароль.
Зачем прикручивать бесполезный UEFI Secure Boot?
И однажды жена стирает твои брюки с аппаратным ключом.
Мне кажется, что у тех кто таким занимается и знает как шифровать диски с аппаратным ключом нет жены...
Жены нет. А две любовницы есть. А они по привычке любят всё постирать.
Так вы поэтому не стираете штаны?
> Так вы поэтому не стираете штаны?Ну да. их и одевать-то некогда. Впрочем, завидовать стоит молча.
На двух любовниц, необходимо пять флешек с разделением секрета. А то, вдруг, одна обидется. Любовница, а не флешка ;)
> На двух любовниц, необходимо пять флешек с разделением секрета. А то, вдруг,
> одна обидется. Любовница, а не флешка ;)Только не флешки же. А свисток с мозгами. С пин-падом на плоскости.
Две любовницы — это Левая и Правая?
> Две любовницы — это Левая и Правая?Вот и выросло поколение, которое не смотрело немецкое кино ни про водопроводчиков, ни про сантехников, ни про рабочих в широких штанах.
Если это братанон, такого не будет ажно по двум причинам.
благодаря бесполезному Secure Boot на нормально настроенном ноутбуке невозможно загрузиться с левой LiveCD флешки и заразить биос или бутлоадер.
FYI уефи умеет подключаться к интернету и качать/запускать рандомные файлы, FYI бутлоадер умеет то же самое, плюс уефи работает даже после загрузки основной операционной системы, а дальше можешь придумать сам - куда и какие данные будут отправляться с твоего ноутбука.
> уефи работает даже после загрузки основной операционной системычочо... линков бы..?
>> уефи работает даже после загрузки основной операционной системы
> чочо... линков бы..?google:// uefi runtime services
По запросу в яндекс фразы "uefi сервисы времени исполнения"
>Среди множества загружаемых драйверов на процессорах x86_64 стоит уделить внимание драйверу System Management Mode Init (SMM Init). Этот драйвер подготавливает все для работы режима системного управления (System Management Mode, SMM). SMM — это особый привилегированный режим, который позволяет приостановить выполнение текущего кода (в т.ч. операционную систему) и выполнить программу из защищенной области памяти SMRAM в собственном контексте.
>Режим SMM неофициально считается кольцом защиты с номером -2. Ядро ОС работает на 0 кольце, а более ограниченные в правах кольца защиты имеют номер от 1 до 3. Официально нулевое кольцо считается наиболее привилегированным. Тем не менее, гипервизор с аппаратной виртуализацией условно называют кольцом -1, а Intel ME и AMD ST — кольцом -3.
И что характерно - кольца 1-2 вообще не используются в современных ОС. Юзерское - 3, рут - 0. Где-то попадалась инфа, что 1,2 умело использовать OS/2.
Так может проблема именно в том, что> уефи работает даже после загрузки основной операционной системы
не? На кой хер загрузчику продолжать работу после того, как он сделал свою задачу?
>> уефи работает даже после загрузки основной операционной системы
> не? На кой хер загрузчику продолжать работу после того, как он сделал
> свою задачу?Вот начал читать по ссылке выше, и сразу прям: "Runtime Services. Functions that are available before and after any call to ExitBootServices(). These functions are described in this section."
Ну и всё же не стоит путать только загрузчик и собссно весь UEFI.
Что при этом не мешает вытащить диск, если компьютер был украден.
В общем, так себе решение...
Даже так. Диск аппаратно делается RO, но чтобы произвести изменения (flash'нуть) требуется пароль.
Затем, чтобы злоумышленник не модифицировал тебе cryptsetup в initrd так, чтобы он по ходу дела сливал master key.
в статье какая-то шизофрения; что защищается, от кого, - непонятно> Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимости в GRUB2 позволяют добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив полный контроль за дальнейшим процессом загрузки, в том числе для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.
s/уязвимости/возможности/
- UEFI Secure Boot!
- Чего-чего?
- Чем-нибудь тяжёлым Secure Boot UEFI, говорю.
Интересно, как там у Михаила ситуация с UEFI. Я бы даже лично занялся этим вопросом и сделал бы ему UEFI.
Надо же, я только сейчас узнал что GRUB2 еще шрифты умеет
Если не секрет, а чем по - вашему, GRUB текст выводил?
> Если не секрет, а чем по - вашему, GRUB текст выводил?Ну если в /etc/default/grub написано GRUB_GFX_OUTPUT=console (вроде так), то там графики вообще не будет.
ТО, что не т графики. Не значит, что шрифтов нет.
Шрифты терминала-то есть. И их можно менять. Правда при сборке GRUB, только.
> при сборке GRUB, толькоТ.е. мало иметь физический доступ, мало быть рутом, чтобы ковырять диски... Надо ещё и груб пересобирать. Это точно не уязвимость.
Как обычно в никсах: Дыра есть, но чтобы ее использовать надо быть рутом.Ну в данном случае, нужно из-под рута, запихнуть шрифты для GFX, прописать их в grub.conf...
>В большинстве Linux-дистрибутивов...заверенная цифровой подписью Microsoft.Одному мне это кажется странно?
да
Есть ещё гитхаб. Его майнит майкрософт и продаёт AI.
>>В большинстве Linux-дистрибутивов...заверенная цифровой подписью Microsoft.
> Одному мне это кажется странно?Комбинацию букв Wintel давно видели? :)
Не ссы, да, мы вам подписали шим, но это НЕ ТА подпись которой подписываем виндовые сборки.Т.е. если производитель твоей платформы ее заблэклистит, наконец - винда грузиться у его пользователей не перестанет.
Висит груша - нельзя скушать.(исходники бутлоадера)
>>В большинстве Linux-дистрибутивов...заверенная цифровой подписью Microsoft.
> Одному мне это кажется странно?Если бы общественность не возмущалась, то даже бы и таких ключей бы не дали, а так сейчас её разделили на две части:
1. На права плевать, теперь с ключом МС работает.
2. Мало ли что работает, права то нарушеныВот так было сломлено сопротивление общества внедрению зонда.
>GRUB2GNU GRUB2. Пусть все знают кто налажал. А то когда не надо напоминают о себе, а когда надо тихорятся.
я надеюсь, ты принципиально не пользуешься ничем от GNU. иначе ты лицемерное дрянцо.
ну я не пользуюсь gcc, не пользуюсь gnu/linux, так сразу и не вспомнишь, чем ещё не пользуюсь
грубом тоже не пользуюсь, ставлю чисто посмотреть
> так сразу и не вспомнишь, чем ещё не пользуюсьмозгами, например.
зачем пользоваться атавизмами
Это не уязвимости. Вообще когда вы уже писаки научитесь. В грубе нет уязвимостей, особенно когда дело касается всяких ефя.
Шрифты? Груб?
штифты, groot
/etc/defaults/grub:
GRUB_TERMINAL=console
# я неуязвим для этой уязвимости.
Может быть. Только шрифты там всё равно есть и при желании их можно пропатчить на нужные простеньким скриптом. Ты наверно перепутал с ttf шрифтами.
Угу. Ну и ещё флаг "только чтение" на grub.cfg. Что бы его не смогли подменить, как шрифты. ;))
И шапочку из фольги.
Как же неохотно корпорасты закрывают свои бэкдоры для кое-кого, и как же остервенело они накрывают подобные фичи.А сабж же, не баг, а фича, потому что помогает обойти зондированный UEFI с его Secure Boot
Какая же это уязвимость это фича.
Если у меня есть ключ, который открывает все замки, то это уязвимость ключа, но ни в коем случае не замков.
Да, мы тоже жалеем что дали гнуси свой ключ.Предполагалось что они умные и будут им пользоваться осторожно, а не оставят торчать в двери.
>>Для устранения проблем в GRUB2 достаточно просто отключить UEFI Secure Boot
Живу с mbr без gpt и не вижу причин зачем мне нужен EFI которым я не пользуюсь.
Я знаю сто такое mbr и что такое gpt разницу между ними. Мне функций mbr хватает.
что
Так можно поставить syslinux и пользоваться себе спокойно прослойкой в фейковом mbr, что вынимает нужный раздел из gpt.
Если я правильно понял что написано. У меня не только с этим связано.
А зачем им надо EFI об этом мне надо узнавать.
На самом деле единственная причина любить гпт это диски на 20 тб. 2 тб сегодня это ну такое. Как ты живёшь только? Ну и дуалбутчикам не весело на 4 разделах, а в логические венда не умеет.
10 дисков по 1 ТБ. Нет не у меня.
Это как приммер.
Нет это не RAID или один диск и девять дисков с резервной копией. Когда появились диски 20 ТБ? Так что у кого-то может быть и много дисков по 1 ТБ.
Глянул кода появились 20ТБ диски, похоже в сиредине и конце 21 года. Кому надо покупайте если надо.
Покупать разрешаю.
Не эффективно. В том числе по уровню шума и электричеству. 1 торрент поместится, если собрать их в 1 массив. Ну, сегодня ты скачал, что хотел, а завтра куда класть инфу? Я так скачал 1 ютуб канал, искал кое что. Как раз около того и вышло. Не серьёзно. Ещё на такой диск можно положить пару игрушечек (если только это не игра с терабайтным клиентом), но хранить их до лучших времён понятно уже не получится. Большая беда на самом деле, вот ты вроде удалил всё не такое нужное и у тебя высвободилось несколько терабайт, а через час их уже нет. Раньше, когда качество и разрешение всего были не такими высокими, жилось как-то проще с 4 тб дисками. И не удалишь ведь, многие вещи продаются весьма ограниченное время и больше не доступны.
Не эфективно. Я о том, что когда диски были не больше 1 Тб размер наращивали колличеством дисков. Не все готовы например выкинуть, отдать или за дёшего продать сколько-то дисков с размером по 1ТБ, 2ТБ. И не всем надо иметь размер 20ТБ.
Стоимость 1 ТБ давно в пределах 20 USD даже на серверных моделях (я не знаю, зачем немецкий CU продавал SAS-модели в 2 раза дороже SATA, везде в мире они стоили одинаково), маленькие диски всегда куда дороже стоят. Когда их много это шум, их надо охлаждать, они будут потреблять электричество, намного выше вероятность отказа одного из дисков.
Не говоря уж о том, что с таким возрастом надёжность будет ниже плинтуса. А новые диски малого объёма просто не реальный овепрайс, какой человек будет так выкидывать деньги?
Ещё проще напишу, а для когото понятнее о чём я. Например, есть уже купленые и работающие диски, например три штуки с размерами 1ТБ, 2ТБ. 100% будут люди которые не станут избавлятся от этих дисков пока они не сломаются, а купят ещё четвёртый диск большего размера и будут использовать четыре диска если им нужно увеличить размер. А кому не надо увеличивать размер будут использовать пока не сломаются. Скорость HDD 7200 rpm тех времён когда в продаже появились диски 1,2ТБ и дисков 18б 20ТБ HDD 7200 rpm не сильно отлечается. Похоже это придел для такой технологии +- что-то улучшают не значительно по скорости.С ноутбуками понятно у них ограничение на колличество вместимых в корпус дисков один или два.
18ТБ, 20ТБ
Ещё проще напишу, а для когото понятнее о чём я. Например, есть уже купленые и работающие диски HDD, например три штуки с размерами 1ТБ или 2ТБ или смешаного количества всех три диска.
То их надо все заменить на нормальные. Конечно, могут использоваться, пока бюджета на это нет (1 диск в районе 20 тыс дерева всё же, 4 диска или свежая видеокарта). Но всё же есть смысл озаботиться этим в первую очередь. Очень много информации исчезает из интернета, лично меня это нервирует. Или просто трудно доступна и не известно будет ли доступ к ней завтра когда очередная рапидшара склеит ласты. Бесплатно точно не будет доступна и для покупки тоже вероятно придётся сменить страну проживания (если издатель ещё существует в природе). С любительскими улучшениями сложнее. Если они исчезли и автор (у которого могла сохраниться копия) более не доступен, то шансы довольно малы. Если завтра рандомной флибусты не станет или там мировой интернет накроется медным тазом, станет прямо совсем неприятно, что не было в наличии наса на такой случай.
Нет, вот теперь совсем непонятно стало. Я не согласен, что найдутся такие люди. Это полностью лишено смысла. Конечно, они будут, только это уже повод усомниться в их адекватности. Оправданием может быть только "попробовать собрать raid6 из мусора". И это единственный вариант их использования. До первого отказа, угумс. Если 1 диск заменяет сразу 20 дисков, то такой крошечный диск даже под бэкапы не используешь. Даже если есть возможность удобного хотсвапа, возиться с переключанием ведра дисков никто никогда не станет. Как максимум -- это записать какие-то данные, которые никогда не понадобятся, и положить подальше. У него стоимость буквально отрицательной становится, даже если он просто лежит -- он занимает место в помещении и место стоит денег. Сейчас usb флешки на терабайты, они удобны и скорости там куда лучше с usb3. Что до количества оборотов, в серверных моделях и 10000 и 15000 и это позволяет ощутимо уменьшить время доступа, но они очень шумные и греются при этом. Энергопотребление опять же. Были ещё лет 20 назад.Не знаю, что там с ноутбуками (в них жёсткие диски ни один здравомыслящий человек не станет использовать), но абсолютное большинство современных (лет 10 так точно) корпусов для пк позволяют впихнуть что-то около 2 дисков, не больше. И ещё возможно будет несколько мест, чтобы прикрутить ssd куда-нибудь. Это full tower. Модели под 5 дисков уже стоят какие-то совершенно неразумные деньги и больше просто нет.
>+- что-то улучшают
Да, скорость записи уменьшили раз в 10 на SMR дисках, хехе. Но зато увеличили плотность записи примерно на 1 процент. Отличное улучшение. А так скорости линейной записи/чтения нормальных жёстких дисков очень выросли. За эти 10 лет не очень, но ощутимо с более ранними. 1-терабайтные диски это 2007 год, 2-терабайтные -- 2009. Самые обычные бытовые SSD конечно более чем на порядок быстрее сегодня, а на случайном доступе так и на многие порядки быстрее.
Я не о том как плогичние или правильние, я о том как в реальности и о домашних компьюторах. Знаю что такое HDD c 10000 и 15000 оборотами. Не слежу за компьюторной техникой, вроде от HDD c 10000 и 15000 оборотами производители отказались не производят и давно, лет 5 - 7 назад отказались, какбы SSD на замену продвигают. Я не писал о 20 HDD. 20 это не три. И даже не 10. Бери тогда выше для примера убедительние будет, 6 HDD 20 ТБ (6x20TБ) вместо 120 дисков 1ТБ (120x1ТБ). Согласен лучше 12HDD 20ТБ(12x20TБ) чем 120HDD 1ТБ(120x1TБ) + 6HDD 20ТБ(6x20TБ).Так как ты (вы) рассуждаете расуждают только те люди которые имеет достаточное количество денег, чтобы менять вещи или покупать только по желанию головы, а не по надобности практической. Первый варивнт людей которые не будут менять HDD пока они не сломаются. Второй вариант людей. Нам наплевать на шум от HDD хотя у дисков 1ТБ 7200 rpm это так себе шум по сравнению с шумом от воздушного охлаждения процессоров и видеокарт. Опять же надо учитывать в каком режиме работают диски нагруженость и колличество, и какого года выпуска это тоже учитывать надо. Терабайтные HDD 7200 rpm диски для меня уже не шумные, а это где-то выпуск 2014 год или раньше. Элктричество это к майнерам они ищут варианты как бы не платить за электричество или платить меньше, чтобы от майнинга получать больше денег защёт экономии на оплате за элктричество или к датацентрам или к хранилещам вроде G. Y. дискам и тому подобное. Не исключаю кто-то будет экономить на электричестве за щёт смены трёх дисков на один. Но это не актуально для городов как миниму милиоников в Росии такими категориями большенство в России не измеряет.
https://habr.com/ru/company/selectel/blog/598173/  ...
"В целом, все так. За повышенную емкость записи данных приходится расплачиваться производительностью. Она у SMR-дисков не особо впечатляющая, ниже, чем у ряда CMR (Conventional Magnetic Recording) моделей. В целом, в этом нет ничего ужасного, поскольку SMR-диски используются, в основном, для хранения «холодных» данных, которым и не нужно постоянное взаимодействие с системой. Такую информацию запрашивают относительно редко"
https://3dnews.ru/1008543/nekotorie-hdd-seagate-i-western-di... не вижу HDD с скоростью 10 тыс или 15 тыс оборотов.
Для более точного понимания мне надо сравнивать, делать тесты или читать сравнения, или использовать самому новые HDD 20 - 22 годов выпуска и тогда я пойму насколько и при каких условиях диск от 2014 года 1ТБ медленние новых 20 и 22 годов выпуска.
Копируем ссылку как текст и вставляем в браузер всё что отабражено 598173/, а не открываем. Открыть не выйдет, не правильно ссылку отобразило, слово захватило после ссылки.
Там ещё в каментариях о гелии расуждают.
А может и не медленнее.
120 целиком бесплатно (самовывоз со свалки) доставшихся дисков это в любом случае на порядки дороже 6 и даже 12 обойдётся. По-первых, транспортировка, во-вторых, место, в третьих, куда их пихать? Нужно оборудование для этого. И те, у кого в наличии такое оборудование, никогда не додумаются пихать такой мусор в стойку. Постоянные отказы, опять же, это рейды надо собирать и, если диски БУ (а они БУ), можно ожидать, что они по кд будут вылетать.>Второй вариант людей
Вот не надо, не надо, в бытность студентом денег не имел вообще и ничего, не мешало выкидывать мусорные диски. Записывал какие-то бэкапы, подключив по усб, но флешка в конечном счёте была удобнее и без постоянных проблем с перегревом, шумом, и вибрациями.
>так себе шум по сравнению с шумом от воздушного охлаждения процессоров и видеокарт'
Ох, 99 шума и вибрации от дисков (даже 1). У меня не совсем идеальный блок питания, и если он начнёт перегреваться включится вертушка (так она выключена без нагрузки) и её завывания будет слышно больше чем у видеокарты под максимальной нагрузкой. А так всё достаточно тихо. Вот шум от водяного охлаждения это да, может напрягать куда сильнее, особенно из-за его характера.
Надоело не по существу переписка. Богатому с бедным трудно договорится. Богатые ноют мерседесы чинить не на что, а поралелный импорт на детали для машин не работает, в место него потделки автомобильных деталей присылают которые раз два и ломаются. Не порядок. Да не порядок, но это не проблема жителей например деревни. Нет таких машин. Да и вообще может и не каких машин нет, не всем нужны машины для себя.Надо меняй, не надо не меняй HDD, если есть возможность. Надеюсь всё закончили с этим.
Ну сорян что я недостаточно богат для этого, мне действительно кажется дикой идея так тратиться. Видимо, не все так успешны, как ты, чтобы иметь возможность позволить себе такое странное хобби, некоторым приходится выживать и думать об эффективности трат.
Ответ есть, но его бот не пускает.
Много чего удалено смотри в лог. Детскисад собрался, рссуждают не как в реальности с учётом рельности, а как правильно идеалестически. Я только за если будет правиль.
Я только за если будет правильно.
"Ну сорян что я недостаточно богат для этого, мне действительно кажется дикой идея так тратиться. Видимо, не все так успешны, как ты, чтобы иметь возможность позволить себе такое странное хобби, некоторым приходится выживать и думать об эффективности трат"
Я не понял кому ты написл. Ты не перепутал на слова пример с машиной написал?
Ты вообше с какой планеты. Ты знаешь вообще где живёшь. Как ты видишь при зарплате 20 - 30 тысяч рублей в месяц купить один HDD за 33 тысячи рублей. Кредит не предлагать. Это я не о себе. Варианты не пешите я их тоже знаю.
Я не люблю привязыватся к вещам и к информации тоже. Сломается диск 20 тб и нет ингформации. Может починят а может нет смотря как сломается.
Естественно, сломается, диски для того и нужны, чтобы ломаться. Любые. Я ммм не совсем разделяю идею рейда там, где он не нужен и не поможет, поэтому данные которые было бы жалко потерять имеются в 2 и более копиях. Но новых оперативных данных, которые нужны каждый день, тоже десятки терабайт, их где-то надо хранить перед обработкой. Главная проблема в том, что сохранением нужно озаботится сильно заранее -- скорость записи на жёсткий диск всего лишь в районе 2 гигабит в секунду несмотря на скорость интерфейса в 6 гигабит.
Это понятно мне. Я не об этом. Я не хочу быть в зависимости от информации и в постоянном переодичном процесе резеруирования.
резервирования
Это понятно мне. Я не об этом. Я не хочу быть в зависимости от информации находящейся у меня на дисках и в постоянном переодичном процесе резеруирования.
> и не вижу причин зачем мне нужен EFI которым я не пользуюсьТебя никто спрашивать не будет, когда на программном уровне (одобряю) откажутся от поддержки некросистем.
Чтобы grub2 подсунуть шрифт, надо рута, не?
Расходимся.