| |
| |
| 3.25, AnonPlus (?), 08:18, 16/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Полностью отключить нельзя.
AMD: зачастую в настройках Биоса есть опция "отключить"
Intel: недокументированные бит в настройках ME, для включения нужен программатор.
Минусы - вы просите это ядро обеспечения безопасности отключить себя. То есть, вы доверяете тому, что оно это сделает. А раз вы ему доверяете, то зачем его отключать?
У Intel можно повредить сегменты прошивки, не критичные для запуска системы, что даёт чуть больше уверенности. Но, повторяю, совсем отключить PSP или ME невозможно. На них в целях удешевления (писать на сях проще, чем на верилоге) вынесены задачи, критичные для старта системы.
Если на реддите пишут обратно, то пишущий не разбирается в теме.
| | |
| |
| 4.26, АнонМинус (?), 09:06, 16/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Минусы - вы просите это ядро обеспечения безопасности отключить себя. То есть, вы доверяете тому, что оно это сделает. А раз вы ему доверяете, то зачем его отключать?
Мы можем доверять тому, что базовый функционал в нём работает, но предполагать наличие уязвимостей. Отключать надо для уменьшения attack surface.
| | |
| 4.32, Intel (??), 11:05, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>AMD: зачастую в настройках Биоса есть опция "отключить"
Фейк такой же как и у гигабайта для интел. Отключить PSP нельзя - он проводит тренировку памяти.
>Минусы - вы просите это ядро обеспечения безопасности отключить себя. То есть, вы доверяете тому, что оно это сделает. А раз вы ему доверяете, то зачем его отключать?
Не просто бит а еще и удаление модулей.
>Если на реддите пишут обратно, то пишущий не разбирается в теме.
Это у Вас наблюдается полнейшее непонимание темы, увы. Советую тратить больше времени на изучение любой темы.
| | |
| |
| 5.36, InuYasha (?), 11:40, 16/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
а) Можно провести тренировку памяти и отключить.
б) Можно провести тренировку памяти программно (возможно, медленнее).
| | |
| 5.49, AnonPlus (?), 20:09, 21/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вы уверены, что прочитали мой комментарий полностью? Потому что, вы повторяете ровно то, что я написал - отключить эти "ядра обеспечения безопасности" полностью невозможно, а у ME мы можем хотя бы часть прошивки повредить.
| | |
|
|
|
|
| |
| 2.3, Аноним84701 (ok), 01:16, 16/05/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > Open Firmware striking back!
Учитывая, кто был инициатором и продвигальщиком UEFI … воистину: "сделай плохо, а потому верни как было!".
| | |
| 2.41, qweo (?), 16:14, 16/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Когда бы https://ru.wikipedia.org/wiki/Open_Firmware - так нет, опять пилят убогий и вместе с тем over-engineered UEFI. И то уж хорошо, что делают его чуть менее ужасным.
Ну и развитие паравиртуализации на замену нереальной поверхности атаки (и пастбищу багов) QEMU радует.
Но тут вспоминается "бойтесь данайцев, дары приносящих" :-|
| | |
|
| 1.4, Аноним (4), 02:04, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
Т.е. на десктопы они забили? Там пусть M$ со своим UEBI всех нагибает, да?
| | |
| |
| 2.6, Аноним (6), 02:12, 16/05/2019 [^] [^^] [^^^] [ответить]
| –8 +/– |
Да. Почему они должны за тебя беспокоиться? Обратись к своему диллеру шапочек из фольги.
| | |
|
| |
| 2.21, Аноним (21), 08:03, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да пусть пробуют. Может что-нибудь путное из Rust выйдет. В любом случае, опыт его использования здесь будет полезен.
| | |
| |
| 3.35, proninyaroslav (ok), 11:20, 16/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Я бы сказал жизненно важный для раста. Ибо если корпорации не будут вливать, так и останется хипстерским языком.
| | |
|
|
| 1.8, Аноним (8), 05:04, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
> ведётся работа по созданию масштабируемой и безопасной замены прошивок UEFI и BIOS
Господи, опять?! Я думал уефи и была той самой "масштабируемой и безопасной заменой" биос.
| | |
| |
| 2.17, EHLO (?), 07:37, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Я думал уефи и была той самой "масштабируемой и безопасной заменой" биос
Действительно думал, или просто поверил дяде?
| | |
|
| |
| 2.34, Аноним (34), 11:14, 16/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
BIOS тесно связан с процессорами, поэтому пусть и этим занимамаются. А вот гипервизоры, да, пусть отставят. А то как Mozilla, браузер стал получаться плохо - занялись чем угодно.
| | |
|
| |
| 2.13, ryoken (ok), 06:56, 16/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Я лично никогда не понимал, вот нафейхоа в UEFI TCP\IP ..? Причём у некоторых аж сразу DualStack, v4\v6.
| | |
| |
| 3.15, Аноним (15), 07:18, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вроде как для обновления по сети из самого себя. На деле - дыра на дыре и дырой погоняет.
| | |
| 3.20, пох (?), 08:02, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
кажется, идея была в возможности подсосать нужный для загрузки драйвер, а не тащить его вместе с платой. Но, как обычно, вышло слишком сложно и китайцы ниасилили - "как-нибудь с флэшки загрузитесь, драйвер для нее в комплекте есть".
удаленную консоль через этот же механизм без всяких корявых поделок а-ля ilo - тоже никто не запрещал сделать. Но и не сделал никто ;-) потому что у хепе есть ilo, у леновы свое непотребство трех разных несовместимых и непохожих вариантов, а супермикра торговала отдельными ipmi модулями и их "активацией", и не собиралась прекращать.
А интелу все как-то было недосуг, у него уйозвимости в процессорах, все силы брошены на придумывание еще тридцати новых хуков в микрокоде.
| | |
| |
| |
| 5.30, пох (?), 10:59, 16/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
да хрен с ним с ключом - те у кого полные стойки супермикр, могут и заплатить (могут и пожмотиться, не топтопу же ж, а админу бегать перетыкать раздолбанные консольники, поэтому кому-то тот кейген очень даже в жилу)
ты представь куда его пихать и каким образом все это устроено. Особенно когда у тебя там линукс (для винды возможно есть какая-нибудь чудо-приложуха, позволяющая обойтись без перезагрузки). Вот оно щастье-то, когда таких стоек и не одна...
Но это еще цветочки, ягодки - когда на какой-нибудь матери особо жестко извратились, и модуль для ipmi - отдельная микроплатка за отдельные деньги (с отдельным p/n) - подключаемая microusb (разумеется, только по разъемам, внутри какая-то своя шина) в жопку на матери. Вывести из сервиса, выключить, отковырять все разъемы, выковырять из стойки, ничего другого не задев, отковырять верхнюю крышку (обычно для этого из стойки надо снимать целиком), засунуть, воткнуть кабель, закрыть и собрать все в обратном порядке.
У этих китаез там пасти от икоты еще не лопнули, интересно?
А что uefi позволила бы без всего этого траходрома обойтись - им пофигу.
| | |
|
| 4.43, Pofigist (?), 10:27, 17/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> удаленную консоль через этот же механизм без всяких корявых поделок а-ля ilo - тоже никто не запрещал сделать. Но и не сделал никто ;-)
Не сделал. Потому что - нельзя. Чтоб это была полноценная консоль, с поддержкой всего функционала IPMI 2.0 - приходится лепить отдельный модуль (BMC), со своим процом и т.д.
> а супермикра торговала отдельными ipmi модулями и их "активацией", и не собиралась прекращать.
Отдельными модулями BMC торгуют все кому не лень, у супермикры он давно интегрирован на мать, как iLO или RSA.
И кстати "лицензия" у супермикро практически не накладывает ограничений - ну бивиса там нельза обновить удаленно например. Это тебе не iLO, где без лицензии ты не можешь даже удаленной консолью воспользоваться.
| | |
| |
| 5.45, Michael Shigorin (ok), 13:20, 18/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Так, немножко ясности:
* IPMI BMC (baseboard management controller) -- это _базовая_ фунциклинальность: питание, ресет, датчики и SoL, для неё достаточно микроконтроллера;
* IPMI SP (service processor) -- это _довески_ вроде iKVM, remote media, веб-морды и всего такого, которым и нужен уже более полновесный обычно ARM (которые массово паять прям на материнки стали как раз лет десять назад).
Насколько припоминаю, BMC должен достаточно тесно сидеть на плате (или в своём разъёмчике), а вот SP от железа отвязан посильней (ему бы до BMC доступиться) и его выносить в отдельные модули должно быть проще.
Ну и раз расвпоминались -- железки/прошивки до IPMI 2.0 любили жрать чужие пакеты, если сконфигурировать на shared lan (или dedicated просто нет). Потом всё же пролечили.
| | |
|
|
| |
| 4.31, пох (?), 11:01, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
не, pxe это отдельная штуковина, внутри драйвера (или как там оно правильно) сетевой карты того уефи, и работает только при выборе ее в качестве источника загрузки.
А есть еще отдельный api, позволяющий поднять полноценную сеть, доступную другим модулям. Пользы от него по факту никакой, вред вполне возможен.
| | |
| 4.38, ryoken (ok), 14:28, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> pxe?
Немного возился с этим делом дома. Самое веселье то, что TFTP сервер смотрит ответ от сетевушки, которая намеревается стартануть по PXE. Есть несколько видов кодов (PC BIOS, EFI32 IFE64, ARM EFI вроде), и под каждый вариант надо делать своё меню со своим софтом (у меня пока что только BIOS-загрузка сделана, машинок с UEFI дома нет).
| | |
| |
| 5.46, Michael Shigorin (ok), 13:22, 18/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Спасибо, занятно -- я как раз в UEFI PXE и не стал уже копать тогда в 2012... (miniITX-материнку в Москве могу одолжить для стендика, специально тогда покупал, а сейчас на полочке лежит)
| | |
|
|
|
|
| 1.14, Аноним (15), 07:17, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
> гипервизор на языке Rust
Ну наконец-то! А то мы уже беспокоились, что давно ничего достаточно хипстерского не анонсировали.
| | |
| |
| 2.22, пох (?), 08:04, 16/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
возможно оно будет виснуть пореже чем tomcat в vmware ?
Насколько можно понять, весь этот хруст там для управления, а внутри как была kvm, так и осталась.
Без qemu, похоже. Вот ее и заменяют хрустоподелкой.
| | |
| 2.40, Ordu (ok), 16:04, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну, наконец-то! А то я уж беспокоился, что новость с упоминанием Rust'а, а никто не отреагировал на Rust.
| | |
|
| 1.28, Аноним (28), 09:31, 16/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Обалдеть, Google пишет на Rust. Их там, что бешеная лисичка покусала? )))
| | |
| |
| 2.33, Аноним (33), 11:09, 16/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Google очень большой - в нем и програмисты на Visual Basic может есть ...
Проблема Go что kernel на нем не написать а вот на rust можно...
| | |
| |
| 3.39, ryoken (ok), 14:29, 16/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Google очень большой - в нем и програмисты на Visual Basic может
> есть ...
Надеюсь, на GWBasic хотя бы нету :D.
| | |
|
|
| |
| 2.47, Michael Shigorin (ok), 13:23, 18/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, у меня одни знакомые могут быть заинтересованы в специалистах по коребуту -- если кому охота совместить сколько-то приятное с полезным, можете маякнуть в почту ;-)
| | |
|
| 1.50, Нечестивый (ok), 17:46, 31/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Безопасная для кого замена UEFI? Сам UEFI к примеру безопасен для Microsoft и в некоторой степени для производителя материнки, но для потребителя является довольно опасным.
| | |
|
