Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал (https://lkml.org/lkml/2013/1/28/423) в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.
Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен (http://www.opennet.me/opennews/art.shtml?num=35852) прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.
Кроме патчей для запрета kexec и hibernation при загрузке в режиме UEFI Secure Boot, Мэтью Гаррет опубликовал (https://lkml.org/lkml/2013/1/28/417) набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities - "CAP_COMPROMISE_KERNEL", предназначенный для выборочного предоставления привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot но в других ситуациях, требующих ограничения доступа к ядру.
URL: http://paritynews.com/software/item/589-new-secure-boot-patc...
Новость: http://www.opennet.me/opennews/art.shtml?num=35949
Сами себе придумали проблемы и героически с ними справились.Резюмируя - UEFI ни за чем не сдался!
Сам UEFI вполне вменяемая задумка. Но вот некоторые реализации это полный треш.
Вменяемая это задумка может быть только для маркетологов. UEFI - это полный бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут. А в данный момент лидером по UEFI себя считает дырявый Виндозе.
Поэтому UEFI в данный момент полный бред, созданный для очередной стрижки бабла, мешающий нормальный работе, нормального компа.
отстань от уефи, он хоть и раздутое добрецо, но злом и ональным зондом дозволения является секуребут.
> бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут.Как бы это сказать? Загрузку модуля руткита от хакера такая технология таки зарубит на корню. Что может быть полезно для серверов. Другое дело что сам секурбут сделан черти-как и предлагается с ножом к горлу доверять каким-то майкрософтам и кому там еще.
Просто любую технологию можно использовать не только во благо но и во вред окружающим. Вот благодаря реализации, secure boot получился скорее во вред. За отсутствием стандартного механизма для админов оставить только свои ключи и вытряхнуть все лишние, например. Ну и за проприетарностью неведомой фирмвары которой почему-то предлагается доверять.
Уважаемый коллега, Вы совершенно правы в части реализации - это вообще характерная черта Microsoft. Однако, представляется, здесь немного не та ситуация. А именно - порочна сама идея, что, впрочем, укзанной компании также свойственно. Обратите внимание на текст в заметке, где говорится о возможности подмены ядра при исполнении. А теперь замените просто ядро на ядро Windows. Т.о. совершенно вырисовывается тренд вирусописательства для Windows 8 на ближайшие годы (или месяцы, в зависимости от скорости распространения технологии secure boot UEFI).
>> бред, если ОСь дырявая, то никакие "Безопасные загрузки" не помогут.
> Как бы это сказать? Загрузку модуля руткита от хакера такая технология таки
> зарубит на корню. Что может быть полезно для серверов.Вот-вот! Как бы ЭТО сказать! Вот объясните мне, тугодуму, как секурбут защитит от подписанного Микрософтом руткита, ну, скажем, запущенного как гипервизор? Если я правильно понимаю, подписать свой загрузчик у Микрософта за некоторое количество мертвых американских президентов можно. Или о чем речь? Если о запрете исполнения неподписанных модулей ядра, то при чем здесь секурбут с УЕФИ вообще?
> Вот-вот! Как бы ЭТО сказать! Вот объясните мне, тугодуму, как секурбут защитит
> от подписанного Микрософтом руткита,Воооот. А памятуя как они влепили вадидную подпись на ПО для индустриального шпионажа - не сомневаюсь что они и руткит подпишут в 2 счета.
Мнение товарища который не видит разницы между UEFI и UEFI Secure Boot никого не интересует.
Вы вобще в состоянии отличить UEFI от UEFI Secure Boot?
> Сам UEFI вполне вменяемая задумка.Всё-таки не вполне: как и EFI или ACPI, это результат чудовищного оверинжиниринга, содержащий в себе гигатонны окаменелых концепций и совместимости с наиглупейшими ошибками (fs0:, blk1:, бэкслеши радуют глаз со страшной силой).
SecureBoot же напоминает то, как поверх скромного досового вирусного зоопарка вылили котёл питательной среды: сперва придавило, зато потом как рвануло...
Заодно: http://mjg59.dreamwidth.org/12897.html
и на всякий: http://mjg59.dreamwidth.org/13061.html
а также: http://lwn.net/Articles/500231/
Да вы уже забодали путать весь UEFI с функцией Secure Boot! Сколько можно?
+1. Остальные, осиляйте:
UEFI: http://ru.wikipedia.org/wiki/UEFI
Об UEFI SB вы уже знаете :)
> Сами себе придумали проблемы и героически с ними справились.
> Резюмируя - UEFI ни за чем не сдался!истеричка, НОВОСТЬ НЕ ПРО UEFI..
Слоупок?
https://ru.wikipedia.org/wiki/Extensible_Firmware_InterfaceEFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?
> EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?#78 выше почитайте, быстрый Вы наш гонзалес. GPT и UEFI как раз и есть досообразные калеки, которые вносят примерно столько же проблем, сколько и решают.
>> EFI - классная штука, не вечно насиловать древний, как голвно мамонта биос?
> #78 выше почитайте, быстрый Вы наш гонзалес. GPT и UEFI как
> раз и есть досообразные калеки, которые вносят примерно столько же проблем,
> сколько и решают.GPT-то за что? Он отлично работает даже с BIOS-ами (не знаю, правда, может это и GRUB-овская прослойка, но у меня всё работает, и при этом далеко не новейшее железо и уж точно не UEFI) и убирает архаичные ограничения MBR - не надо усложнять всё расширенными разделами и вообще беспокоиться об их количестве, а также, актуадьно с новыми дисками - о максимальном объёме.
Ну а UEFI - странная затея в наш XXI век, притом что инициализацию железа можно было вообще операционной системе отдать.
Ну и накой этот секуребут нужен, если он мешает нормально пользоваться собственным компом? Стационару то может и все равно, а вот ноут без sleep и hibernate как то несколько страннен.
> Ну и накой этот секуребут нужен, если он мешает нормально пользоваться собственным
> компом? Стационару то может и все равно, а вот ноут без
> sleep и hibernate как то несколько страннен.надеюсь что проблем в sleep не будет
После апдейта пользователей Федоры с севшей батареей ожидает сюрприз "для их же собственной безопасности"
>> "для их же собственной безопасности"во-во, даст из тупикал мракетология.
секуребут это не для собственной безопасности пользователей, а наоборот, производитель операционных систем не доверят пользователю, который (вдруг) попытается запустить их восьмерочку на нелегальном компьютере.
> После апдейта пользователей Федоры с севшей батареей ожидает сюрпризто есть сначало у них компьютеры вообще не загружались, так как не было качественной поддержки Secure Boot в старой Fedora...,
...а потом [после обновления Fedora] БАЦ(!) и не работает Hibernate! :-D
вот облом!
</sarcasm>
я вот сильно сомневаюсь что в ближайшие 10-15 лет много народу будет пользоваться операционками с UEFI Secure Boot
UEFI Secure Boot встроен в BIOS всех ныне выпускаемых материнских плат, ОС тут вообще не причём.Таким образом, если твоя операционная система не поддерживает UEFI то ты просто не сможешь заставить её работать на твоём компьютере с UEFI материнской платой (за исключением тех случаев когда производитель материнской платы добавил в BIOS возможность отключить UEFI - но это делают далеко не все производители).
Бывают толковые релизы.
Например ноут ACER TM B113-E поставляется с БИОС, но если тебе надо УЕФИ для В8, то качай прошивку УЕФИ с сайта производителя, котоаря прошьется вместо БИОСа...
Благодаря такому подходу я выбрал эту модель а не тупо УЕФИ, хотя ранее склонялся к Леново. Но танцы с УЕФИ меня остановили...
Во всех Thinkpad-ах есть переключалка режима загрузки: через UEFI или Legacy (то биж BIOS).
Не надо склоняться к Lenovo. У Ленововских ноутов есть серьезные проблемы с совместимостью UEFI с Linux. Линуксячье ядро не видит загрузочных записей EFI и пытаясь вписать свой загрузчик перезаписывает те записи, которые отвечают за вызов настроек БИОСа. Windows 8 делает тоже самое. Перепрошить БИОС нельзя, т.к. Леново не дает образ БИОСа. Проблема официально не признается, по гарантии меняют либо материнку либо ноут целиком.
Что вы курите?
Да если бы...
Взгляните на досуге на forum.lenovo.com, либо в гугле вбейте "lenovo g580 uefi" будете несколько удивлены результатом.
> Да если бы...
> Взгляните на досуге на forum.lenovo.com, либо в гугле вбейте "lenovo g580 uefi"
> будете несколько удивлены результатом.Все прекрасно разруливает efibootmgr.
Сам то пробовал? Или теоретик? :)
Объясняю механизм. Ядро не может перечислить загрузочные записи и отобразить их через sysfs. efibootmgr видя что записей нет, создает свою под номером 0. А так как создание записей идет нормально, то тем самым переписывает уже имеющиеся в биосе. А под номерами 0 и 1 там были записи обеспечивающие доступ к настройкам и вызова меню с чего грузиться.
Причем Win7 прекрасно работает, а вот Win8 уже нет.
Подтверждаю, как бывший пользователь Lenovo. Читал на форумах, проблемы также бывают и с Виндой, у тех, кто пытался использовать полное шифрование диска TrueCrypt-ом.Так что, Lenovo - уже не торт.
А что осталось из рабочих машин? Синкпады были чуть ли не последней отдушиной, со своими строгими корпусами, тачпоинтом, приличной клавиатурой и общим дубовым и предельно продуманным исполнением. Но клавиатуру поменяли, внутри тоже,получается, нагадили...
> А что осталось из рабочих машин? Синкпады были чуть ли не последней
> отдушиной, со своими строгими корпусами, тачпоинтом, приличной клавиатурой и общим дубовым
> и предельно продуманным исполнением. Но клавиатуру поменяли, внутри тоже,получается,
> нагадили...Samsung?
А у них разве были дубовые и продуманные рабочие модели наподобие синкпадов?
А какие альтернативы?
Ноуты с докстанциями кроме Lenovo делают только HP и Toshiba, но крайне эпизодически.
Может быть кто-то из производителей как Lenovo предоставляет подробную инструкцию по разбору на 200-300 страниц с парт номера всех деталей?
Я согласен, что испортились, но никто все равно больше качественных ноутов для инженеров не делает =/
Ну, в принципе я ещё видел Fujitsu T900 - осталось впечатление, что он из того же ряда - прочный, продуманный, удобный, комплектующие вроде аккумуляторов стандартизированы с прошлыми моделями и держатся много лет, в слот для DVD пихается дополнительный аккумулятор... Но конкретно он - трансформер с пальцевым тач-вводом + вакомовским стилусом, в результате стоимость получается под $2000 за 13 дюймов, при чём под линуксом ваком ещё и не взлетает вроде. Остальные их модели в руках не держал, но может что-то и есть.
При установке Linux выбирайте конфигурацию с LVM.
> При установке Linux выбирайте конфигурацию с LVM.не пробовал, но слышал, что не советуют для десктопов - как оно?
> UEFI Secure Boot встроен в BIOS всех ныне выпускаемых материнских плат, ОС
> тут вообще не причём.Врёте.
> когда производитель материнской платы добавил в BIOS возможность отключить UEFI
> - но это делают далеко не все производители).Врёте.
PS: я в альт добавил поддержку UEFI, если что.
как тогда, интересно, вопрос с гибернацией в венде решен? Или они только других напрягают?
Например, сливаем в hyberfil.sys (или как он там?) все то же, что и всегда, но в конце дописываем электронную подпись содержимого файла. А при разгибернации это самое содержимое на корректность подписи проверяем. Совпала подпись - все путем, не совпала - ребут и загрузка компа с нуля.В принципе, ничего экстраординарного и относительно легко реализуется в любой ОС, которой приспичило полностью поддерживать secure boot.
> ... но в конце дописываем электронную подпись содержимого файла. А при разгибернации это самое содержимое на корректность подписи проверяем. ...1. откуда Операционная Система (Windows или не важно) возьмёт приватный ключ для создания цифровой подписи?
2. как так получится что у вируса не будет этого приватного ключа?
> 1. откуда Операционная Система (Windows или не важно) возьмёт приватный ключ для
> создания цифровой подписи?
> 2. как так получится что у вируса не будет этого приватного ключа?My bad, my bad... Да, о ключе я как-то забыл :(
Возможно, как-то можно использовать TPM-модуль на мамке. Его же когда-то под что-то подобное и затачивали. Но тут я ноль полный - что может и что не может сей модуль и есть ли он на каждой мамке с secure boot - я не знаю.
В bitlocker, вроде, уже сделано.Вообще, я немного удивлен, что TPM еще не полностью перетащили в современные процы. Я думал, что оно уже давно там. %\
Компьютеры с TPM запрещены к продаже в России и Китае. Возможно еще где-то, я точно не знаю.
По этому использовать TPM для Secure Boot не вариант.
Хм, то есть технология таки приличная?
> По этому использовать TPM для Secure Boot не вариант.Ого, значит, я видел запрещенный компьютер. Это что-то типа запрещенных книг, да?
Ну да, скоро у нас будет 451 по фаренгейту - http://izvestia.ru/news/543946
> В bitlocker, вроде, уже сделано.Он модуль TPM требует по нормальному. Или как минимум отчуждаемый носитель, что достаточно неудобно, т.к. втыкать-вытыкать флешку с ключом - утомительно. Иначе у него будет та же проблема.
> Вообще, я немного удивлен, что TPM еще не полностью перетащили в современные
> процы. Я думал, что оно уже давно там. %\Это требует энергонезависимой памяти для хранения ключей. А она не любит соседство с греющимся как печка ядром проца. Попросту говоря, флеш-память (ну и все EEPROM-based, как близкие родственники) от нагрева элементарно стирается. Ну вот так вот.
Всем ответившим - спасибо за содержательные ответы о TPM.
Простое "спасибо" уже режет слух?
чёто я не представляю, как можно решить вопрос с гибернацией. ключа чтоб подписать нет, а как иначе гарантировать целостность?чувак из рх как то очень рьяно подошёл к вопросу безопасности, сам себя теперь загоняет в тупик. все остальные спокойно забили на полную цепочку верификации и теперь не парят мозг
> чёто я не представляю, как можно решить вопрос с гибернацией. ключа чтоб
> подписать нет, а как иначе гарантировать целостность?
> чувак из рх как то очень рьяно подошёл к вопросу безопасности, сам
> себя теперь загоняет в тупик. все остальные спокойно забили на полную
> цепочку верификации и теперь не парят мозгна мой скромный взгляд -- всё правильно ты говоришь за исключением "загоняет в тупик". :)
думаю мотивация тут крайне логичная!!:
никто не мешает пользователю зайти в SETUP и отключить там SecureBoot ...
..но в случае если же SecureBoot ВКЛючен -- то давайте не будем обманывать пользователя.
пользователь хочет "безопасную загрузку"(?), ну значит либо он её получит, либо пусть перестанет её хотеть!
Просто уже стало очевидным, что чисто и аккуратно реальная безопасная загрузка не получается. Больше тогоо - это было более-менее понятно с самого начала, тотальная безопасность всегда создавала такую массу проблем,что по возможности с ней никто не связывается, за исключением особо озабоченный DRM-щиков (регулярно и добавляющих пользователю сложности). Действительно не совсем понятно, чего добиваются редхатовцы с этим. В конце концов, десктопами они не занимаются как бизнесом, а сервер, даже если ему актуален сон (уж не знаю,зачем), достаточно защитить от физического доступа, чтобы никто образ не подменил.
Они там того? Следующий шаг это - запрет использования своего ядра?
> Они там того? Следующий шаг это - запрет использования своего ядра?Так уже вроде. Если загрузчик может грузить только подписанное ядро.
> ... загрузчик может грузить только подписанное ядро.включая также и загрузку свого ядра. :)
разница в том что теперь его надо подписать (а раньше не надо было).
>> ... загрузчик может грузить только подписанное ядро.
> включая также и загрузку свого ядра. :)
> разница в том что теперь его надо подписать (а раньше не надо
> было).Ну, это только в том случае, если китайцы не поленятся сделать возможность добавить свои ключи в Secureboot на конкретной Вашей железяке. Иначе - только подписанные теми, что в нем есть :(
>>> ... загрузчик может грузить только подписанное ядро.
>> включая также и загрузку свого ядра. :)
>> разница в том что теперь его надо подписать (а раньше не надо
>> было).
> Ну, это только в том случае, если китайцы не поленятся сделать возможность
> добавить свои ключи в Secureboot на конкретной Вашей железяке. Иначе -
> только подписанные теми, что в нем есть :(разве?
мне кажется Shim сможет загрузить пользовательское ядро (подписанное пользователем, используя пользовательский ключ), даже в случае если катайцы поленятся...
[я может ошибаюсь? Да/Нет?]
> Они там того? Следующий шаг это - запрет использования своего ядра?А зачем вам своё ядро? Зачем вам вообще линукс? Все пользуются виндовс. Почему Вы — нет? Может Вы террорист? Или педофил.
*sigh*
..одни дуроломы придумали бред..
другие его продолжают делать..
если так и дальше пойдет.. то все печально.
сегодня еще новость вышла, что через 2 года начинается замена паспартов на пластиковые карточки, кругом одни ограничения, мир катится в тоталитарное общество
IMHO: Предчувствую, что будет как с Java, через год выяснится что всё это Secure Boot до фени и обход ограничений взломщиками возможен без серьёзных затрат … у M$ просто не может быть иначе.
Ребята, кто в теме расскажите плиз как обстоят сейчас дела в реальности по продажам новых устройств (сервера, ноутбуки) с этой паразитной технологией?Кто уже реально сталкивался с этим?
Насколько адекватна возможность реального отключения этого?
Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?
Собираюсь приобрести новый ноут и эти новости совсем не радуют так и до покупки маков можно дойти :) Идиотизм - спрос на маки и андроиды явно подрастет.
> Идиотизм - спрос на маки и андроиды явно подрастетпрям подскочит огромным скачком, величиной аж до 2~5% :-D
> Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб не нарваться на секюребут
>> Какие бренды-производители уже отличились, кто из них ведет наиболее дружественную политику?
> Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб
> не нарваться на секюребутСпасибо за отзыв - тоже присматривался к этому бренду. В моем списке кандидатов он имеется.
ASUS, ACER, TOSHIBA, Lenovo
"Знаки вопроса"
Dell (может быть), Fujitsu, HP, Samsung, Nec, Panasonic, MSI
> "Знаки вопроса"
> Dell (может быть), Fujitsu, HP, Samsung, Nec, Panasonic, MSIсегодня пришлось выйти из дома (обычно я очень редко выхожу) и я защёл в магазин -- там продавались ноутбуки.
среди них были ноутбуки Dell, на которых были установлены Убунты. (процессоры: Intel i3 второго поколения, и ещё какието менее скоростные тоже от Intel. i7 и i5 не видел)
очень удивился!
кроме Dell -- других ноутбуков с предустановленным Linux не видел.
[предустановленный Linux-то не нужен, сам по себе, а вот относительно отсутвия SecureBoot думаю это не плохой индикатор!]
Если там предустановлена нормальная убунта - то по-моему это очень даже в плюс.
Молодцы Делловцы - что можно сказать.
Интересно, как у них на серверах дела обстоят?В целом, по поводу Dell у меня сформировалось насчет ноутов следующее:
покупал когда-то инспирон 1896 с вистой. На висте было дофига всяких зондов, потом вообще перестала принимать обновления. Потом батарея перестала работать. Поставил убунту - все было ок. Но как надежная железяка не очень: со временем отвалились клавиши, кнопки тачпада перестали нормально нажиматься, не очень стойко перенес перегрев, на винде винт глючил. В убунте все работало. Создалось ощущение, что делловцы как-то "кодируют" свои железки на срок службы ))
>> Я выше писал о интересном решении от ACER. сам выбирал тоже, чтоб
>> не нарваться на секюребутПишу с ноута asus, где он есть, но отключаемый -- как и на любой x86-железке "win8 ready" или как их там.
> Спасибо за отзыв - тоже присматривался к этому бренду.
Он странный -- удачные модели бывают, но это "знать надо", обычно хлам по части корпуса, батарейки и общего качества сборки.
> В моем списке кандидатов он имеется.
В моём -- нет...
> ASUS, ACER, TOSHIBA, Lenovo
Тошибы давненько не щупал, из "японцев" более интересны фуджики (крайне живучие). Lenovo можно плавно забывать -- эти твари уже убили и IBM-овскую клаву, а сборка скатилась ещё в T43.
> "Знаки вопроса"
Про ноуты HP слышал от продавцов и знакомых, что БП в последнее время странно часто летят.
>[оверквотинг удален]
> по части корпуса, батарейки и общего качества сборки.
>> В моем списке кандидатов он имеется.
> В моём -- нет...
>> ASUS, ACER, TOSHIBA, Lenovo
> Тошибы давненько не щупал, из "японцев" более интересны фуджики (крайне живучие).
> Lenovo можно плавно забывать -- эти твари уже убили и IBM-овскую
> клаву, а сборка скатилась ещё в T43.
>> "Знаки вопроса"
> Про ноуты HP слышал от продавцов и знакомых, что БП в последнее
> время странно часто летят.спасибо за отзыв.
к сожалению доля выпуска фуджиков сокращается - были хорошие модельки фуджитсу-сименс например.
Удивляет, что согласно списку фонду-развития линукса среди платиновых партнеров нет ни одной известной модельки из современных (http://www.linuxfoundation.org/about/members)
Интересно, если они платиновые партнеры, то какова их позиция по UEFI
Ноутбуки и сервера на андроиде? Я тоже хочу такой травы.
почему бы нет? :)если сервера станут со спичечный коробок, то это было бы одним из главных технологических прорывов на обозримом горизонте ))
> почему бы нет? :)
> если сервера станут со спичечный коробок, то это было бы одним из
> главных технологических прорывов на обозримом горизонте ))Оно конечно неплохо будет если так призадуматься, но:
вы представляете себе сколько тогда предприятий и фирмочек останутся без работы если такое произойдет? Таможням добавится работы - придется обыскивать карманы на предмет ввоза серверов. А дата-центрам что делать? А как хулиганов тогда ловить? И что с вебом будет? Тотальный p2p?
> Ноутбуки и сервера на андроиде? Я тоже хочу такой травы.угощайся ))
> Собираюсь приобрести новый ноут и эти новости совсем не радуют так и
> до покупки маков можно дойти :)На мак линукс воткнуть всё-таки сложнее, там железо официально "не ПК-совместимое" и в т.ч. благодаря как раз фирмвари. Сам обдумывал, грустно глядя на куцый выбор железок с приличной матрицей -- в итоге остановился на UX31A с мелкими, но терпимыми проблемами вроде отсутствия выделенных pgup/pgdn & co.
тоже присматриваюсь к asus - не лучший вариант конечно, но более менее из рискованных вариантов.Вас тоже клавиши раздражают? - сейчас еще пошла мода цифровой блок клавиш впаривать за счет уменьшения enter или подобных махинаций до крохотных размеров... Извиняюсь за оффтопик, но пошел явно какой-то идиотизм и техно-хамство - тачпад смещенный влево (очень непривычно и неудобно) - дешевые клавиши, видео нвидия или интел - радеон становится редкостью и т.д. и тут еще этот "псевдо-секурный" загрузчик...
Установка линукса на маки становится довольно не редким явлением в наше время. Но откровенно говоря как достали эти дуал-буты и пляски. Тут еще винда со своим жмотством - нафига создавать такие трудности, когда можно было-б разрешить держать винду на виртуалке... дык нет - фиг поставишь образ - диск не поставляется - ура пляскам с акронисом и им подобными... Интересно, Торвальдс каким ноутом пользуется сейчас...
Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы решить на уровне ядра проблемы, которые он не смог решить за 20 лет на уровне ОС. Это я про безопасность своего днища.
Все верно же, от вирусов избавиться не смогли, теперь костыли в ядро пихают.
> Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
> решить на уровне ядра проблемы, которые он не смог решить за
> 20 лет на уровне ОС. Это я про безопасность своего днища.Да нихрена ты не понял, не надо врать. Торвальдс эту фигню придумал, Торвальдс.
А если серьезно, почитай статью в википедии хотя бы, тогда хоть знать будешь, кто придумал EFI
https://ru.wikipedia.org/wiki/Extensible_Firmware_Interface
Буковку "U" видите? Это разные стандарты.
> "Хотите на свой пэка наклеечку Win8 ready - сделайте эту фичу неотключаемой"Полагаю, наклеечка "Win8-free" будет пользоваться бешеной популярностью...
> Эти люди и придумали SecureBoot.Их укусил Поттеринг ?
Кто эти люди, к Столлману их в ссылку
>Это один из механизмов защиты от руткитов и прочей дряни.Не руткитов, а буткитов. :)
> Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
> решить на уровне ядра проблемы, которые он не смог решить за
> 20 лет на уровне ОС. Это я про безопасность своего днища.Опять Вы наслушались сказок о том, что Микрософт что-то создал. Скоро "новое поколение" будет "так понимать", что все в этом мире создал великий Микрософт :( Почитайте, хотя бы http://ru.wikipedia.org/wiki/Extensible_Firmware_Interface
> Вот объясните, нaхeра нужен UEFI? Я так понял микрософт создал UEFI, чтобы
> решить на уровне ядра проблемы, которые он не смог решить за
> 20 лет на уровне ОС. Это я про безопасность своего днища.У них не так проблемы решают. У них проблемы решают сертифицированные пропагандёры, которые вам расскажут, что проблемы, на самом деле, нет. Это всё сказки-страшилки для ламеров.
А ждущий режим оставили? Зря, ведь предварительно охладив память можно выдрать её из материнской платы не потеряв данных, прочесть/переписать нужные куски, а затем запихнуть обратно. Единственный выход гарантировать безопасность это цифровая подпись, сгенерированная материнской платой ну или хранить весь компьютер в сейфе, остальное просто глупость.
> предварительно охладив память можно выдрать её из материнской платы не потеряв данныхв жидком азоте? :)
...а ядро эффекта массы -- нужно ли применять?
хочу попробовать! это же отличная идея!
Давно я читал эту новость, сейчас смог нарыть только это https://citp.princeton.edu/research/memory/
Там даже азота не надо, баллончика со сжатым воздухом достаточно.