https://opennet.ru/openforum/vsluhforumID3/121426.html В загрузчике GRUB2 выявлено 8 уязвимостей. Наиболее опасная проблема (CVE-2020-10713), которой присвоено кодовое имя BootHole, даёт возможность обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Особенностью данной уязвимости является то, что для её устранения не достаточно обновить GRUB2, так как атакующий может использовать загрузочный носитель со старой уязвимой версией, заверенной цифровой подписью, и скомпрометировать процесс верификации не только при загрузке Linux, но и Windows...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53454<br> https://opennet.ru/openforum/vsluhforumID3/121426.html#308 Tue, 18 Aug 2020 11:54:24 GMT &gt; полный контроль над системой с правильными значениями в TPM :)<br><br>Нет такого в природе, подпись grub.cfg проверяется и "побитого" GRUB не загрузит. Кроме того в TPM GRUB пишет все свои действия, которые изменяют его значение:<br><br>https://www.gnu.org/software/grub/manual/grub/grub.html#Measured-Boot<br>"If the tpm module is loaded and the platform has a Trusted Platform Module installed, GRUB will log each command executed and each file loaded into the TPM event log and extend the PCR values in the TPM correspondingly."<br> https://opennet.ru/openforum/vsluhforumID3/121426.html#307 Fri, 07 Aug 2020 08:41:48 GMT Э не, вот это уже только за деньги.<br> https://opennet.ru/openforum/vsluhforumID3/121426.html#306 Thu, 06 Aug 2020 15:55:09 GMT &gt; Куда вставить, надеюсь, найдёшь.<br><br>ты мне лучше найди куда вставить создание этих меток. Причем - динамическое. Причем где-то в районе firstboot или аналогов - поскольку система создается клонированием.<br>Собственно, я и на fs-labels согласен, только их нельзя поменять на примонтированной fs.<br>(для замены uuid есть специальный черезанусный апи, требующий, не много ни мало - специфических метаданных в fs)<br><br><br> https://opennet.ru/openforum/vsluhforumID3/121426.html#305 Thu, 06 Aug 2020 15:49:22 GMT &gt; Но и что в GPT можно имена разделам задавать &#8212; не знал. А для монтирования они, видимо, не<br>&gt; используются, потому что не обязаны быть уникальными, в отличие от GUID/UUID. <br><br>повторяю: в той _единственной_ реальной ситуации, когда на самом деле могут возникнуть эти проблемы - в систему воткнут диск от чужой системы - guid запросто оказывается тоже неуникальным, потому что это клон.<br><br>&gt; Если gdisk'ом делать<br><br>отсутствие в линухе вменяемой замены для gpart - мы тут уже обсуждали, ну что ты хочешь от системы любителей синих окошечек и косплея винды? Они скосплеили древнюю досовскую утиль, которую когда-то только и застали, а на большее их фантазии не хватило. Да и ту не затянули в автоматику установки как следует, чтобы ей можно было сделать что-то разумное.<br><br>P.S. ты, кстати, тип раздела с меткой не путаешь? А то "Linux filesystem" очень похожа на тип, а не метку. Есть у microsoft такой ;-) Причем еще есть отдельный от него linux-lvm - старались.<br><br> https://opennet.ru/openforum/vsluhforumID3/121426.html#304 Thu, 06 Aug 2020 13:05:21 GMT На, дарю:<br><br>ENV{ID_PART_ENTRY_SCHEME}=="gpt", ENV{ID_PART_ENTRY_NAME}=="?*", SYMLINK+="disk/by-partlabel/$env{ID_PART_ENTRY_NAME}"<br><br>Куда вставить, надеюсь, найдёшь.<br> https://opennet.ru/openforum/vsluhforumID3/121426.html#303 Thu, 06 Aug 2020 10:38:47 GMT &gt; Впрочем, можно их при желании в fstab зафигачить. /dev/disk/by-partlabel/...<br><br>о, научились.<br>Но, похоже, это фича ядер после 4.какой-то, мое так не умеет и такого каталога нет вообще.<br><br><br> https://opennet.ru/openforum/vsluhforumID3/121426.html#302 Wed, 05 Aug 2020 20:04:43 GMT Впрочем, можно их при желании в fstab зафигачить. /dev/disk/by-partlabel/...<br> https://opennet.ru/openforum/vsluhforumID3/121426.html#301 Wed, 05 Aug 2020 20:01:36 GMT А, ты про GPT&#8230; Просто выше-то MBR обсуждали. Но и что в GPT можно имена разделам задавать &#8212; не знал. А для монтирования они, видимо, не используются, потому что не обязаны быть уникальными, в отличие от GUID/UUID. Если gdisk'ом делать, он по умолчанию обзовёт всё "Linux filesystem". Так себе идентификатор.<br> https://opennet.ru/openforum/vsluhforumID3/121426.html#300 Tue, 04 Aug 2020 21:59:32 GMT &gt; Я видел много странной фигни, но вот именно такого ни разу не <br>&gt; встречал. За десятилетия. Нет, наверное, теоретически и так можно, но практически <br><br>зато https://bugzilla.redhat.com/show_bug.cgi?id=1861977 встретили.<br><br>&gt; У GRUB он так вообще обычно подчитывает оверлей в "track0" (сразу за <br><br>это у lilo (он почему-то никак не помещался в один сектор), у grub с самого рождения это не было острой необходимостью - можно было его и туда класть, с некоторым риском потерять, а можно и не - blocklist stage2 (лежащей прямо в файловой системе как обычный файл) помещался прямо в mbr. stage1.5 была в общем-то феерическим ненужно.<br>Сейчас все то же самое тоже работает, но уже через задницу.<br><br>&gt;&gt; Особенно бредово выглядит их реализация для efi, где не надо было никаких <br>&gt;&gt; специальных умений и блоклистов - но вместо того чтобы просто прочитать <br>&gt; Вот это я особо не изучал, честно говоря. И не знаю какие <br><br>efi дает апи, вполне достаточный для чтения файлов. Любых. Можно и для записи (если так хотелось любимый grube