The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux

26.10.2022 10:36

Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.

Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image), объединяющего образ ядра Linux, обработчик для загрузки ядра из UEFI (UEFI boot stub) и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. UKI-образ оформляется в виде исполняемого файла в формате PE, который не только может быть загружен при помощи традиционных загрузчиков, но и напрямую вызван из прошивки UEFI.

Возможность вызова из UEFI позволяет использовать проверку целостности и достоверности по цифровой подписи, охватывающую не только ядро, но и содержимое initrd. При этом поддержка вызова из традиционных загрузчиков позволяет сохранить такие возможности, как поставка нескольких версий ядра и автоматический откат на рабочее ядро в случае выявления проблем с новым ядром после установки обновления.

В настоящее время в большинстве дистрибутивов Linux в процессе инициализации используется цепочка "прошивка → заверенная цифровой подписью Microsoft shim-прослойка → заверенный цифровой подписью дистрибутива загрузчик GRUB → заверенное цифровой подписью дистрибутива ядро Linux → не заверенное окружение initrd → корневая ФС". Отсутствие верификации initrd в традиционных дистрибутивах создаёт проблемы с безопасностью, так как среди прочего в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

Верификация образа initrd не поддерживается так как данный файл формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива, что сильно усложняет организацию проверки при использовании режима SecureBoot (для заверения initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивку UEFI). Кроме того, существующая организация загрузки не позволяет применять информацию из регистров TPM PCR (Platform Configuration Register) для контроля целостности компонентов пространства пользователя, помимо shim, grub и ядра. Из имеющихся проблем также упоминается усложнение обновления загрузчика и отсутствие возможности ограничения доступа к ключам в TPM для старых версий ОС, ставших неактуальными после установки обновления.

Основные цели внедрения новой архитектуры загрузки:

  • Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов.
  • Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам.
  • Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы.
  • Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы.
  • Упрощение и повышение надёжности обновлений.
  • Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM.
  • Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек.
  • Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС.
  • Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
  • Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.


  1. Главная ссылка к новости (https://0pointer.de/blog/brave...)
  2. OpenNews: Леннарт Поттеринг представил mkosi, инструмент для генерации образов ОС
  3. OpenNews: Леннарт Поттеринг представил свой новый проект Casync
  4. OpenNews: Разработчики Systemd намерены внедрить кардинально новые методы построения дистрибутивов Linux
  5. OpenNews: Мэтью Гаррет выступил с критикой реализации верификации загрузки в Chromebook
  6. OpenNews: Представлен systemd-homed для управления переносимыми домашними каталогами
Лицензия: CC-BY
Тип: Интересно / К сведению
Короткая ссылка: https://opennet.ru/57984-boot
Ключевые слова: boot, sign, cert, systemd, init
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (333) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, RedHat Support (?), 10:42, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +34 +/
    LinuxD на шаг ближе?
     
     
  • 2.6, Аноним (6), 10:46, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +91 +/
    Поттеринг был ниспослан линуксойда за их →ГРЕХИ←
     
     
  • 3.374, Аноним (374), 23:27, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Сотрудник Микрософта предложил..."

    ...сотруднику Микрософта ещё не предложили пойти куда подальше?

     
     
  • 4.419, Анониим Ноним (?), 18:29, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Они потом возвращаются. Увы.
     
  • 3.421, shardddin (?), 19:24, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это за какие еще??
     
     
  • 4.431, Аноним (431), 18:29, 05/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    За несоблюдение прописанного в учебнике по Integrity Помните и не забывайте ист... большой текст свёрнут, показать
     
     
  • 5.433, Аноним (431), 18:40, 05/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    За несоблюдение прописанного в учебнике по Integrity Помните и не забывайте ист... большой текст свёрнут, показать
     
  • 3.432, Аноним (431), 18:31, 05/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего личного, такой стиль бизнеса в M$.
     
  • 2.46, Аноним (46), 11:35, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    НУ вам виднее
     

  • 1.2, Аноним (2), 10:43, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +32 +/
    Выдирать с мясом это вот всё потом, в будущем, будет очень неприятно.
     
     
  • 2.27, Шарп (ok), 11:01, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –13 +/
    Маняфантазии. Systemd уже победили?

    >всё потом, в будущем

    Бог накажет, накажет!!!111

     
     
  • 3.131, лютый жабби.... (?), 13:40, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >Systemd уже победили?

    ну в моем дистрибе системГ нет и не было, причём дистриб конфетка - даже лучше арча

     
     
  • 4.159, муу (?), 14:28, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +10 +/
    не ври, в винде системд уже есть
     
     
  • 5.227, Аноним (227), 18:09, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Винда не самый лучший дистриб, далеко не лучший.
     
     
  • 6.379, AxaRu (?), 07:32, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да что же ты такое несешь?
     
  • 4.267, Аноним (267), 20:49, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Artix?
     
     
  • 5.339, x230 (ok), 16:27, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Artix еще нестабилен.
    Юзал его плазменную версию два года. Многовато глюков...
    Перешёл на Calculate (Plasma) вначале октября. Полёт нормальный!..
     
  • 4.422, shardddin (?), 19:25, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А точнее можно? Что за дистр?
     
  • 3.160, Аноним (160), 14:29, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Скоро опеннет эксперты-программисты собирутся и сделают свой линукс. Без systemd, pulseaudio, wayland, rust и прочего блоата.
    "Маняфантазии" тут только у тех кто не верит в экспертизу опеннет.
     
     
  • 4.196, Аноним (196), 16:42, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    нахрен это моно-полублоатварь нужна
    лучше взяться допиливать гайку
     
     
  • 5.200, Аноним (200), 16:48, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гайкой пусть занимаются латентные проприетарщики. Думаешь мы не знаем, что программисты Гайки раньше пилили БеОС.
     
     
  • 6.207, Аноним (196), 17:08, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    какая хрен разница, сейчас всё открыто
    или тут какие-то сектанские убеждения имеют место быть?..
     
  • 5.268, Аноним (267), 20:52, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где брать дрова для гайки?
     
     
  • 6.277, Аноним (277), 23:30, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что, опять невидия не заводится?
     
  • 4.213, Аноним (-), 17:18, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем собираться, уже сделали. Только вас мы не позавем.
     
  • 4.245, Анонимыч (?), 19:05, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Откатится можно в хрен знает какой год и там это уже все есть или наоборот отсутствует.
     
  • 4.349, Аноним (349), 18:41, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Без systemd, pulseaudio, wayland, rust и прочего блоата

    И без питона, разумеется. В каждую вторую новость о питоне столько анонимных хейтеров набегает же :)

     
  • 3.215, Аноним (215), 17:21, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не гневи Бога. Один линуксоид как-то пожелал одной зазнавшейся корпорашке, чтоб они в аду горели. И что, думаешь, случилось? Новые карточки Невидии плавятся и горят!
     
     
  • 4.225, Аноним (227), 18:07, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А у Мелкосаксов что может случиться, GitHub ляжет?
     
     
  • 5.380, AxaRu (?), 07:34, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас правильно их называть Мелкосатанисты.
     
  • 2.260, Аноним (260), 20:19, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так никто выдирать и не будет. Просто перепишут с нуля, на нормальном языке.
     
     
  • 3.283, Аноним (283), 00:13, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>перепишут с нуля, на нормальном языке.

    Неужто на RUSTe?

     
     
  • 4.313, Аноним (313), 11:35, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Читать не умеешь? Сказано же, на НОРМАЛЬНОМ.
     
     
  • 5.332, Аноним (332), 14:40, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нармаааальныыыый!
     
  • 2.351, Michael Shigorin (ok), 21:50, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Лет двадцать назад Витус в RU.LINUX высказался в духе "возможно, мы создадим такую клетку, которую не сможем сломать изнутри сами".

    Почему-то вспоминаю при виде таких новостей.

     
     
  • 3.434, Аноним (431), 18:58, 05/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    1. Правильная реализация: https://www.opennet.ru/openforum/vsluhforumID3/128763.html#433

    2. Клетки которые предлагают Лёня и Миша с ALT имеют дыру в дизайне! И речь идёт не о наличии сторонних ключей от M$ & ALT в системе Integrity.

    3. IMA/EVM от IBM этой дыры не имеет. Потому что они читают, понимают и соблюдают стандарты.

    Переведи на русский язык:

    "2.1.3.1.1 System Architecture
    The TCB shall maintain a domain for its own execution protects it from external interference or tampering (e.g., by modification of its code or data strucutres)."

     
  • 3.439, InuYasha (??), 16:27, 17/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    это не о TPM+SecureBoot+selinux? :)
     

  • 1.3, Аноним (3), 10:43, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +52 +/
    казачок из Microsoft предложил новую архитектуру верифицированной загрузки Linux...
     
     
  • 2.118, Шарп (ok), 13:20, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Почему не считаешь его linux-казачком, которого заслали в винду?
     
     
  • 3.164, n00by (ok), 14:45, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Потому что подписями заведует Микрософт.
     
  • 3.209, Аноним (196), 17:09, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    тебе не надоело писать глупости?
     
  • 3.398, ____ (?), 18:01, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Куда бы его не послали, он везде будет "засланным" т.к. по сути своей тyпaк и ничего более. Сабж способен развалить всё, что угодно до чего ручищами своими дотянется и засрать всем мозги своим "вы не понимаете". Ждём лютых перемен в венде и вендeкaпец в качестве следствия. Отправился к виндовозам - весь православный мир перекрестился:) Туда ему и дорога.
     
  • 3.420, Анониим Ноним (?), 18:34, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему не считаешь его linux-казачком, которого заслали в винду?

    Лялиху в Окне ничего не надо. А вот у Окна беспокойство, что у Лялиха под крылом стало достаточно хорошо чтобы Окна можно больше не открывать.

    Потому - смотри кому выгодно, кого беспокоит.

     
  • 2.137, КО (?), 13:53, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты чего Какноникал и Сусей до сих пор не восхваляешь?
    Ща красная шляпка и федорка подтянутся и будет у нас Serious Business.
     

  • 1.4, DEF (?), 10:43, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Горшочек, не вари!
     
  • 1.5, Аноним (5), 10:45, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    Чувак из майкрософта предлагает сделать уефи продвигаемую мелкософтом рабочей(сейчас она в статусе "костыль"). Как будто бы под благим предлогом, но что-то мне подсказывает что от этого будет больше проблем чем пользы.
     
     
  • 2.7, Аноним (5), 10:47, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Особенно

    >Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
    >Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.

     
  • 2.64, Аноним (64), 11:56, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Он ничего нового не предлагает, EFISTUB уже существует. Разница по сути только в том, чтобы формализовать это, сделав стандартным форматом ядра
     
  • 2.396, Аноним (396), 16:19, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Учитывая то, что это всё и так уже есть, только работает на костылях, предложение в принципе норм.

    Другое дело, что лучше бы это все выкинуть вообще

     

  • 1.8, Аноним (8), 10:47, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Отсутствие верификации initrd в традиционных дистрибутивах создаёт проблемы с безопасностью, так как среди прочего в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

    Luks ведь не использует initrd

     
     
  • 2.11, Аноним (-), 10:49, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Будет вынужден использовать.
     
     
  • 3.152, Аноним (152), 14:18, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем?
     
     
  • 4.238, Аноним (238), 18:33, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это ж Лёня - великий логик и конструктор...
    Ответ - потому что
     
  • 2.86, Аноним (86), 12:34, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты можешь в initramfs автоматически расшифровывать luks-тома, проверяя по дороге конфигурацию системы (можешь глянуть в man systemd-cryptenroll в таблице Well-known PCR Definitions, какие системные компоненты проверяются на неизменность).
    Проблема в том, что сейчас область проверки сам initramfs не входит.
     

  • 1.10, Аноним (-), 10:49, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Казалось бы почему бы не облегчить использование пользователем своих ключей? И Но нет, все это делается в конечном итоге не для безопасности пользователя, а для безопасности ОТ владельца. Почти всегда владельцы-пользователи отключают Secure Boot и TPM, так как это дико неудобно. И не только в Linux.
     
     
  • 2.93, Аноним (86), 12:38, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так в использовании своих ключей особых сложностей и нет. Просто обычно никто даже минимально заморачиваться не хочет.
     
     
  • 3.168, n00by (ok), 14:52, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так в использовании своих ключей особых сложностей и нет.

    То есть можно написать скрипт из нескольких команд, собрать его в пакетик, жалательно немного доработать инсталлятор. И вопрос решён на уровне дистрибутива. Правильно?

    > Просто обычно никто
    > даже минимально заморачиваться не хочет.

    Угу. РедХат ведь не сделала это за майнтайнеров, значит виноваты пользователи. :)

     
     
  • 4.195, Аноним (86), 16:40, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да Вот несложный скрипт, генерящий ключи https www rodsbooks com efi-bootload... большой текст свёрнут, показать
     
     
  • 5.252, ivan_erohin (?), 19:51, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > сгенерить ключи, перезагрузиться в BIOS, переключить там режим SB в user mode, загрузиться
    > обратно в систему, вызвать sbkeysync из пакета sbsigntools

    как вы считаете, вирус типа "шифровальщик" (или его оператор) смогут сделать это все вместо легитимного пользователя ?

    вводные такие: локальный юзер взят на удаленное управление, привилегии подняты до уровня "локальный root" или "локальный Administrator" через пока неизвестный 0day.

     
     
  • 6.291, n00by (ok), 08:36, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте выполнить systemctl reboot --firmware-setup без прав рута. Работает? А дальше то что будет делать оператор? Куда интереснее варианты с централизованной подписью и ключами для LUKS в TPM, что и предлагается.
     
  • 6.306, Аноним (86), 10:53, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прописать свои ключи - нет Но если есть локальный рут, то малварь и так может д... большой текст свёрнут, показать
     
  • 5.292, n00by (ok), 08:39, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Спасибо. То есть тут основная сложность - объяснить пользователю, что нажать в биосе. Кому это действительно надо, тот нажмёт или попросит специалиста. Вот мне и не понятно, почему в дистрибутивах нет штатных инструментов, если они так беспокоятся о пользователях, что потребовалась аж инициатива Леннарта.
     
     
  • 6.307, Аноним (86), 10:56, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю, потому что делают механизм, работающий из коробки, рассчитанный на массового неквалифицированного пользователя.
    Квалифицированные пользователи при наличии желания и так себе всё настроят, тем более, что там ничего сложного нет. А если желание есть, но настроить не получается, то, видимо, пользователь неквалифицированный и см. п. 1.
     
     
  • 7.318, n00by (ok), 12:22, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В вышеприведённом скрипте есть сложность - он непонятен пользователю. Инструкции, которые надо сначала найти, опять непонятны пользователю. Если же инструкции «нажмите в биосе вот эту кнопку» покажет установщик системы - это квалифицированному пользователю понятно. Если кто-то сам нашёл скрипт, это уже не пользователь, это уже уровень майнтайнера дистрибутива. :)
     
     
  • 8.337, Аноним (86), 16:12, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В том скрипте особо ничего понимать и не требуется, он просто генерирует все нео... большой текст свёрнут, показать
     
     
  • 9.389, n00by (ok), 11:18, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это проблема не понимания, а, скорее, психологического плана Пользователь испол... большой текст свёрнут, показать
     
  • 8.352, Michael Shigorin (ok), 21:57, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А там нет вот этой кнопки -- фирмварешлёпы резвятся очень по-разному ... текст свёрнут, показать
     
     
  • 9.390, n00by (ok), 11:24, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Помню, в ответ на вопрос 171 что можно сделать в rpm нового 187 , написал я п... текст свёрнут, показать
     
  • 3.174, AlexYeCu_not_logged (?), 15:12, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Так в использовании своих ключей особых сложностей и нет. Просто обычно никто даже минимально заморачиваться не хочет.

    Простые вещи не сопровождаются инструкциями, начинающимися словами «ключей понадобится сгенерировать три штуки».

     
  • 3.381, AxaRu (?), 07:38, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Просто обычно никто даже минимально заморачиваться не хочет.

    А я не понимаю какая мне дома польза от этого?

     

     ....большая нить свёрнута, показать (15)

  • 1.12, Sw00p aka Jerom (?), 10:49, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    переименуйте уже линукс на леннарт
     
     
  • 2.28, Аноним (227), 11:06, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Lennux
     
     
  • 3.53, Alexey (??), 11:40, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    PotterOS
     
     
  • 4.136, Перастерос (ok), 13:52, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    LEPOLinux
     
     
  • 5.173, Аноним (227), 15:10, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага, а репозитории с ним называть лепрозиториями.
     
  • 3.233, Sw00p aka Jerom (?), 18:18, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Lennux

    Rosa Lennux чет не звучит :)

    пс: nooby, предлагай

     
     
  • 4.269, Аноним (267), 20:57, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Rosie Lennox
     
     
  • 5.271, Sw00p aka Jerom (?), 21:33, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Rosie Lennox

    Rosamund Lennox вооо :)

     
  • 4.293, n00by (ok), 08:44, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Lennux
    > Rosa Lennux чет не звучит :)
    > пс: nooby, предлагай

    Роза Ленин-Люксембург же. Как раз ключи предлагают общие.

     
  • 2.214, microcoder (ok), 17:20, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    LinLennaX
     
  • 2.236, Аноним (-), 18:27, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    MSUX типа как lexus но как обычно все что от мс
     
  • 2.312, Аноним (313), 11:33, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Лёникс
     

  • 1.13, iCat (ok), 10:49, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Winux или Lindows ?
     
     
  • 2.48, Аноним (46), 11:36, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    да
     

  • 1.14, Аноним (14), 10:51, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот зачем его Майки наняли на работу.
     
     
  • 2.107, Аноним (107), 12:56, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +18 +/
    скорее, они наняли его на работу задолго до того, как наняли его на работу
     
     
  • 3.353, Michael Shigorin (ok), 21:58, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ...не только лишь наняли...
     

  • 1.18, Аноним (18), 10:52, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    > При этом поддержка вызова из традиционных загрузчиков позволяет сохранить такие возможности, как поставка нескольких версий ядра

    следует читать как "поддержку традиционных загрузчиков предполагается сделать опциональной и в будущем отключить"

    (а подписанные UKI распространять через Microsoft Store)

     
     
  • 2.162, Аноним (162), 14:35, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А зачем нужны "традиционные" загрузчики, когда есть UEFI?
     
     
  • 3.180, AlexYeCu_not_logged (?), 15:19, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >А зачем нужны "традиционные" загрузчики, когда есть UEFI?

    Они работают, причём без башляний MS-у.

     
  • 3.280, Аноним (280), 23:51, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что UEFI нетрадиционный
     
     
  • 4.354, Michael Shigorin (ok), 22:01, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Иллюстрация (16+): http://mjg59.dreamwidth.org/4957.html
     

  • 1.20, Аноним (20), 10:54, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В чём он не прав?
     
     
  • 2.22, Аноним (14), 10:57, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +20 +/
    В желании оффтопика за вендролочить и пускать на железо только проверенных производителей, которые делают то что им скажу он полностью прав. Но не всем захочется жить в концлагере. Большинству конечно же нравится жить в концлагере.
     
     
  • 3.61, Sw00p aka Jerom (?), 11:51, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >В желании оффтопика за вендролочить и пускать на железо только проверенных производителей

    давно уже так и линукс прогнулся, вендорам никогда ничего не мешает что-либо залочить.

     
     
  • 4.87, Аноним (87), 12:35, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Мешает. Это дорого и нет стандарта. Станет легко и появится стандарт сразу залочат.
     
     
  • 5.100, Sw00p aka Jerom (?), 12:45, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    сами внизу пишите, майки сами стандарты наваляют и проплатят
     
     
  • 6.150, Аноним (150), 14:15, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Таков путь.
     
     
  • 7.355, Michael Shigorin (ok), 22:02, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кирдык этому "пути".
    Уже официально.
    Но пусть ещё порыпаются.
     
     
  • 8.436, InuYasha (??), 14:39, 17/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    откуда такая уверенность я бы рад, но пока вижу сплошь обратное ... текст свёрнут, показать
     
  • 3.66, Аноним (64), 11:57, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что сейчас мешает им это сделать? Он даже не предлагает чего-то, что нельзя сделать сейчас. Linux уже поддерживает такие ядра, в которые можно вклеить строку запуска и initrd для запуска как образ EFI
     
     
  • 4.89, Аноним (87), 12:37, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Им мешает что нет сабжа из новости. Или они должны по твоему сами за это платить за разработку и всё такое. Вендрам то в среднем пофигу. А вот майками не пофигу. Если майки как поставщик ОС попросят вендоры сделают и локнут по новому стандарту.
     
     
  • 5.284, Аноним (64), 01:10, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сабж из новости есть:
    https://wiki.gentoo.org/wiki/EFI_stub

    Разрабатывать ничего нового не нужно для того, можно хоть вчера вендорлокнуть

     
  • 3.183, Аноним (183), 15:26, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вот именно, что большинству конечно же нравится. Нравится админам продакшн-систем - им гораздо реже придётся среди ночи в выходной вскакивать и, ломая тапки, бежать чинить. Нравится (точнее им фиолетово) пользователям поневоле, которых пересадили на линух: им по-барабану, что там внизу - главное, чтобы пахала прикладуха. Ну и кто остался-то? Истинные? Майкрософт за этим стоит? Да за этим стоят OEM и иже с ними. Включая Майкрософт. И серьёзных производителей дистрибутивов linux включая тоже. Всё как всегда очень просто - свобода свободомыслящих - это их личные проблемы.
     
     
  • 4.199, Аноним (199), 16:47, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У Вас какие-то странные представления о том, что нужно "админам продакшн-систем".
    Никто некуда не бегает, на уровне тех самых "продакшн-систем" удаленный доступ к физической консоли -- вещь вполне привычная.
    И дежурный администратор всегда есть в корпоративном ЦОД, это, как минимум, глаза и руки.

     
     
  • 5.235, Аноним (152), 18:20, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Звонишь в датацентр, а там час подключают вашу же ipkvm
    Или ещё дольше свою, если с вашей проблема.
     
     
  • 6.334, 1 (??), 16:05, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да ладно !
    Напиши, что за датацентр, чтоб им никогда не пользоваться.

    Обычно всегда к железячному серверу дают ipkvm и никто никуда не бегает (если только за древним браузером если вдруг понадобится flash).

     
     
  • 7.345, пох. (?), 16:49, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Точно-точно. Одних только курьеров тридцать пять тыщ!

    (и флэш. Тонко гармонирует, да. Кстати, древний браузер не поможет.)

     
  • 6.344, пох. (?), 16:47, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После чего выясняется что они перепутали сервер.

    Хорошо если до того как ты что-то наберешь.

     

  • 1.21, Аноним (21), 10:57, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Возможность прикрепления конфиденциальных данных к определённым стадиям удалённой аттестации.
     
  • 1.25, pashev.ru (?), 10:59, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уж лучше Эльбрус.
     
     
  • 2.32, Аноним (227), 11:13, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Майор предложит свою архитектуру верифицированной загрузки.

    P.S. Это не считая того, что там закрытый lcc генерит.

     
     
  • 3.356, Michael Shigorin (ok), 22:05, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уж не знаю, кто и в каком звании, но "Эшелон-Э" так-то давно известен. :)
    Но главное -- его не пихают во все интерфейсы, в отличие от добрейших и заботливейших.

    PS: есть и открытый lcc: http://github.com/ilyakurdyukov/littlecc-e2k

     
  • 2.134, a_kusb (ok), 13:47, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А прикольно было бы если бы после революции сделать Эльбрус лекарством против этого. Без спекулятивных дыр и функций против пользователя.
     
     
  • 3.178, Аноним (178), 15:17, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пользователи будут ныть ааа у меня не собирается Х, у меня тормозит Y
     
     
  • 4.338, Аноним (86), 16:14, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А компилятор разве уже перестали давать только после подписывания NDA? И проприетарным он уж точно остался, в этом я на 100% уверен.
     
     
  • 5.359, Michael Shigorin (ok), 22:10, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже, Вы заблуждаетесь так же, как и я пару лет назад (возможно, даже "благодаря" мне).

    lcc входит в ОС Эльбрус, которой штатно комплектуются ВК Эльбрус, которые продаются _без_ NDA.

     
  • 4.358, Michael Shigorin (ok), 22:09, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У-уу, а я им в ответ ною: "а у меня собирается овер 85% сизифа, а у меня не тормозит". :]

    Кстати, на домашнем "Эльбрус-16С" поднял первые пару виртуалок для удалённого доступа коллег; также известны стенды Игоря Молчанова в ИНЭУМ, ну и в Норси-Транс под проект можно запросить выделенный сервер для портирования и нагрузочного тестирования.

     

  • 1.29, YetAnotherOnanym (ok), 11:07, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Одной из основ идеологии СПО была возможность для пользователя полностью контролировать всё, что происходит на его компьютере. Если пользователь накосячил, если влез зловред и с полномочиями пользователя натворил делов - это естественная плата за свободу.
    Для MS приоритетом всегда была возможность исключить вмешательство пользователя в тот функционал, который не относится к пользовательскому. Невозможность изменить то, что производитель считает не подлежащим изменению - это, по мнению MS, естественная плата за безопасность.
    Теперь Лёня тащит это в Линух.
     
     
  • 2.62, Аноним (62), 11:53, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > возможность для пользователя полностью контролировать всё, что происходит на его компьютере

    Ну так Леннарт и контролирует все, что происходит на его компе. А зловред контролирует всё через /tmp/.X11-unix/X0, и никакой Леннарт ему при этом не понадобился.

     

  • 1.33, Аноним (-), 11:16, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    а я-то думаю, чего ещё осталось не поломатым в линуксе
     
  • 1.35, Аноним (35), 11:23, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-нибудь может попроще новость объяснить?
     
     
  • 2.39, Аноним (107), 11:27, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    попытка запретить загрузку всего, за что не забашляли майкрософту. т.е. доделать то, для чего создавался UEFI
     
     
  • 3.68, Аноним (64), 12:00, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже сейчас возможно сделать тем, кому это хочется сделать, даже дополнительно ничего не надо для поддержки:

    https://wiki.gentoo.org/wiki/EFI_stub

     
     
  • 4.171, n00by (ok), 15:02, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Сейчас есть нюанс: «для заверения initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивку UEFI».

    Свои ключи исключают из схемы.

     
     
  • 5.285, Аноним (64), 01:14, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В топике ничего не сказано про отсутствие необходимости своих ключей.

    Чтобы UKI загрузить из UEFI, его кто-то всё равно должен подписать. Архитектуру EFI никто не отменял. Кто-то - не обязательно пользователь. Если распространять ядра в репозитории уже упакованными и подписанными - получится абсолютно тоже самое, без необходимости своих ключей.

     
     
  • 6.286, HyC (?), 03:45, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Получится не то же самое. Если раньше "свой ключ" мог иметь для "того же самого" мейнтейнер, то теперь придется за ними ходить в Редмонд.

    Поэтому будет подписано только то что в Редмонде разрешили. Причем сильно не бесплатно.

     
  • 6.322, n00by (ok), 12:32, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В топике ничего не сказано про отсутствие необходимости своих ключей.

    Я же привёл цитату со словом «не_обходимо». Это слово означает буквально, что свои ключи мешают сейчас.

    > Чтобы UKI загрузить из UEFI, его кто-то всё равно должен подписать. Архитектуру
    > EFI никто не отменял. Кто-то - не обязательно пользователь. Если распространять
    > ядра в репозитории уже упакованными и подписанными - получится абсолютно тоже
    > самое, без необходимости своих ключей.

    Раньше ключи были у пользователя, а теперь у Микрософт. Не знал, что слово «абсолют» имеет такой смысл.

     
     
  • 7.340, Аноним (86), 16:36, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это какие-то фантазии Во-первых, у microsoft изначально были свои ключи, пропис... большой текст свёрнут, показать
     
     
  • 8.360, Michael Shigorin (ok), 22:13, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так лягушку-то надо варить постепенно PS если что, я автор http en altlin... текст свёрнут, показать
     
     
  • 9.430, жявамэн (ok), 16:49, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    вот бы кто написал инструкцию как заставить работать цитрикс на альте не устано... текст свёрнут, показать
     
  • 8.391, n00by (ok), 11:35, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ох уж эти анонимные Microsoft Most Valuable Professional с одной булевой перемен... текст свёрнут, показать
     

  • 1.36, ыы (?), 11:23, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    >формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива, что сильно усложняет

    Да что эти пользователи вообще себе позволяют! Что-то там свое формируют! А людям напрягаться приходиться...

     
  • 1.42, llolik (ok), 11:30, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Хоть я и приветствую systemd и не испытываю особой персональной неприязни, но, Лёня б*ть, это не просто вендор-лок, это по сути проприетарная ОС на основе Линукс ядра. Ну его нахрен, такие идеи.
     
     
  • 2.63, Sw00p aka Jerom (?), 11:55, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Ну его нахрен, такие идеи

    идея верификации процесса загрузки - норм с точки зрения секурности, но вопросы возникают при ее реализации.

     
     
  • 3.72, llolik (ok), 12:07, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > но вопросы возникают при ее реализации.

    Ну так я и о том же. По сути, если обобщить, Лёня предлагает собрать, назовём это так, метаядро, которое будет подписано и загружаться UEFI-ем (но может и вообще содержать всё в одном образе).

    Ну и на кой это надо, если получается, что пользователь в работу ОС вмешаться не может. И даже хрен-бы с ним, накатить самосборное ядро. Я уже не говорю, что это сильно обрежет возможность (если вообще не исключит) что-то исправить в случае, если в процессе загрузки что-то будет идти не так. Получится такой МакОС на линуксовом ядре, и всё.

     
     
  • 4.98, Аноним (86), 12:43, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так крупные дистрибутивы (навскидку: убунта, федора, дебиан, suse) уже давным давно подписывают свои ядра. И ты тоже можешь подписывать, к слову.
    Тут речь про то, чтобы еще и initramfs проверять на неавторизованную подмену.
     
  • 4.144, ryoken (ok), 14:10, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня первая мысль была: "и как мне gentoo с моим вручную собранным ядром заводить? Кто\чем его подписывать будет?" да и не охота мне ещё и подписанием всего возиться из-за вот таких вот инициатив.
     
     
  • 5.172, n00by (ok), 15:08, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сейчас в Gentoo делается вот так https://wiki.gentoo.org/wiki/User:Sakaki/Sakaki%27s_EFI_Install_Guide/Con (на деле немножко проще, т.к. ключи Микрософта сохранять не обязательно). А вот когда реализуют схему из новости, появится лишний повод отключить возможность устанавливать свои ключи.
     
     
  • 6.265, Аноним (265), 20:40, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Он забыл туда воткнуть обязательно сервак верифицированной загрузки, которая в облаке может разрешить загрузку, а может и не разрешить загрузку.
    А то грузят в божественную винду всякие линуксы понимаешь. А ему премии потом не видать!
    А у нас в Void такого нет. Захотел - загрузился быстро.
    Захотел - собрал и поставил сам ядро.
    Захотел послать Леннарта в задницу - ну вы поняли мужики.
     
  • 4.361, Michael Shigorin (ok), 22:14, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не, не макос.  Вообще не ОС как компонентная _система_.  Прошивка.  Appliance.  Чёрный ящик.
     

  • 1.45, Аноним (45), 11:33, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Да он же троллит! Статья называется "О, дивный новый мир доверенной загрузки." Почему никто до сих пор не понял отсылки - понять не могу.
    Добавьте эту информацию в новость, кому не лень.
     
     
  • 2.50, Аноним (46), 11:38, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    это уже неважно, наживку местные проглотили)
     
  • 2.67, ilowry (?), 11:59, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так это он окно Овертона смещает. Сначала все посмеются над идеей и над теми, кто не понял шутки, а потом и задумаются: а почему бы и нет?
     
  • 2.181, AlexYeCu_not_logged (?), 15:22, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    >Да он же троллит!

    Расскажи мне кто лет 15 назад про бинарные логи в Линуксе, я б тоже подумал, что он тролль.

     

  • 1.47, Аноним1212 (?), 11:35, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уже и до ядра хочет, лет 12 назад на лурке писал что так и будет, но не поверили аварии на
    И
     
     
  • 2.54, Аноним (14), 11:40, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну всё LFS теперь на новом железе не запустить. Будем сидеть на своих 486. Ой так поддержку 486 тоже выпилили. Придётся идти с повинной (деньгами) в майкам.
     
     
  • 3.112, НяшМяш (ok), 13:10, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Опять белки истерички. Я буду сидеть на своём 5950Х, потому что в биосе есть возможность отключения Secure Boot. Да и в Alder Lake от конкурентов тоже можно. Кому не нравятся TPM и остальное - есть всякие Sandy Bridge и прочее старьё.
     
     
  • 4.148, Аноним (150), 14:14, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё рады за тебя (нет).
     
  • 4.232, Аноним (227), 18:16, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это пока есть возможность. Coreboot, к сожалению, матери с 5950X не поддерживает.
     
     
  • 5.279, Аноним (277), 23:40, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Слово "Coreboot" и слова "не поддерживает" для вас означают одно и то же.
     
  • 5.326, НяшМяш (ok), 12:48, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Коребут хоть что-то свежее десятилетней давности поддерживает?
     
  • 3.223, Аноним (152), 18:06, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В этом вся суть линуксоидов
    Сначала хвастают непонятно чем, а потом идут в майкам
     

  • 1.52, Штунц (?), 11:40, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ВОПРОС ПРО КОМПИЛЯЦИЮ ЯДРА:

    если я сам перекомпилирую ядро, будет ли возможность его запустить? Смогу ли пометить мной скомпилированное ядро как "доверенное", или придётся его предварительно загрузить на какой-нибудь сайт для верификации
    (подобно тому, как раньше для установки софта на Symbian нужно было его где-то подписывать)
    ???

     
     
  • 2.56, Аноним (14), 11:41, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет.
     
     
  • 3.57, Аноним (14), 11:42, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сам себе сделать доверенным, лол. Какой тогда смысл в этой проверке если каждый встречный поперечный может её обойти.
     
     
  • 4.65, Sw00p aka Jerom (?), 11:57, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >каждый встречный поперечный может её обойти.

    джампер перезаписи нужно переключить:)

     
  • 4.102, Аноним (86), 12:46, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чтобы обойти, нужно попасть в bios, введя пароль, и добавить свои ключи. При этом диск перестанет автоматически расшифровываться через tpm2, т.к. поменялась конфигурация bios-а. То же самое произойдет, если bios тупо сбросить.
     
     
  • 5.299, Бывалый смузихлёб (?), 09:10, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Но можно ли прежде сделать диск «расшифрованным», а после - по накатанной ?
     
     
  • 6.320, Аноним (86), 12:25, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если знаешь ключ шифрования, то да. Если не знаешь, то сорян.
     
  • 2.60, llolik (ok), 11:49, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > если я сам перекомпилирую ядро, будет ли возможность его запустить?

    Как SecureBoot в UEFI станет неотключаемым, так и не сможешь. Пока ещё, на большинстве плат SB отключаемый. Пока ещё.

     
     
  • 3.103, Аноним (86), 12:47, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не только отключаемый, но еще и можно удалять ключи MSFT и вместо них записывать свои.
     
     
  • 4.262, Аноним (262), 20:24, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Скажите это владельцам arm-планшетов на winrt и телефонов nokia lumia
     
     
  • 5.321, Аноним (86), 12:26, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как там в 2013?
     
     
  • 6.336, 1 (??), 16:12, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я туда хотетЪ
     
  • 4.316, llolik (ok), 11:51, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не только отключаемый, но еще и можно удалять ключи MSFT и вместо
    > них записывать свои.

    В стандарте - да, но далеко не в реализациях. В ноутах, например, периодически встречаются и неотключаемые/нетривиально отключаемые и с непрошиваемыми (пользователем) ключами.

     
     
  • 5.341, Аноним (86), 16:39, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В каких ноутах такое встречается?
     
     
  • 6.362, Michael Shigorin (ok), 22:17, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не дам конкретику, но точно попадалось -- что-то из "ошибочек" сам видел, с чем-то пользователи приходили.
     
  • 6.392, n00by (ok), 11:42, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот сходу простой случай: https://wiki.archlinux.org/title/Acer_Aspire_E5-575
    Но кому-то пришлось догадаться, что сначала надо задать пароль, что бы можно было отключить.
     
  • 2.73, Аноним (73), 12:07, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уефи позволяет (пока ещё позволяет - в стандарте прописано) добавлять свои ключи для верификации. Так что да, пока ещё можешь сам себе собрать что хочешь, подписать чем хочешь, и запускать как хочешь... Разумеется, это относится лишь к твоему личному писюку, может быть, к семейным, но к чужим писюкам, а также не-писюкам - неприменимо.
     
     
  • 3.75, Штунц (?), 12:20, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо
     
  • 3.220, Аноним (220), 18:00, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А удалять уже предустановленные позволяет?
     
     
  • 4.224, Аноним (-), 18:06, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да.
     
  • 2.259, ivan_erohin (?), 20:18, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > если я сам перекомпилирую ядро, будет ли возможность его запустить?

    да, через kexec (если его не уберут для безопастности).
    но сначала маналупа.

     
     
  • 3.323, Аноним (86), 12:34, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    kexec, вроде, уже лет 7 тоже проверяет подпись загружаемого ядра.
     
  • 2.350, Аноним (350), 18:53, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да запросто, подписываешь ядро своими ключами и заливаешь ключи в BIOS.
     

  • 1.69, Аноним (69), 12:01, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >Основные цели внедрения новой архитектуры загрузки:

    digital restrictions management

     
     
  • 2.146, ryoken (ok), 14:13, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как выше сказали - концлагерь.
    Дайте более-менее современную железку на OpenFirmware что ли... :)
     
     
  • 3.363, Michael Shigorin (ok), 22:20, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Недавно узнал, что исходники эльбрусного бута тоже могу попросить, оказывается. :)

    PS: в целом летом осознал окончательно ясно: важно даже не то, открыто-закрыто и что там "в правилах" -- а то, у кого <s>ружжо</s> контроль над проектом.

    Все _декларации_ могут быть вмиг объявлены устаревшими и непригодными для очередного этапа "политической целесообразности".  Ну или не объявлены вслух, а просто теперь игнорируемы.

     

  • 1.80, Аноним (86), 12:31, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно пора уже.
    Я на своих системах поудалял майкрософтские ключи, подписываю своим ключем загрузчик и ядра, сделал разблокировку luks через tpm2 и включил secure boot (всё это делается довольно легко с systemd и dracut). В итоге я доверяю только себе и производителю железа (что он нормально реализовал хранилище ключей и measurement состояния прошивок)
    Но здоровенной дырой остается initramfs, который ничем не валидируется, и через подмену которого можно легко вытащить ключ шифрования для LUKS-тома.
     
     
  • 2.128, noname.htm (ok), 13:29, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При подписи своими ключами это решаемо уже сейчас: https://wiki.archlinux.org/title/Unified_kernel_image
     
     
  • 3.188, Аноним (215), 16:19, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Подтверждаю. Если в системе уже используется systemd-boot и dracut, то собрать UKI - буквально один шаг сделать - добавить ключ для dracut (в pacman-hook на Арче).
     
  • 2.140, Аноним (2), 13:55, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А от кого ты там на локалхосте защищаешься, подскажи?
     
     
  • 3.201, Аноним (86), 16:50, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    От локальных атакующих (secure boot, вообще, только на защиту от них, в общем-то, и расчитан). Например, от того, чтобы при краже (или изъятии) ноута/компа уберечь свои данные от любопытных глаз.
     
     
  • 4.234, Аноним (227), 18:19, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю, шифровать разделы накопителей можно и без secure boot.
     
     
  • 5.324, Аноним (86), 12:37, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, то тогда использовать автоматическую расшифровку через TPM (да и по паролю тоже) небезопасно, т.к. для доступе к системе на любом этапе загрузки можно внедрить код, который сольет ключи шифрования.
    Собственно, для того, чтобы предотвратить неавторизованное влияние на загрузку secure boot и существует. Если ты прописываешь свои ключи, то авторизовать выполняющий загрузку код тоже можешь только ты.
     
  • 4.251, Аноним (251), 19:37, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Возьми этот гаечный ключ за 5 баксов…"
     
     
  • 5.342, Аноним (86), 16:41, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Воришка, который выхватит у меня в кафешке со стола ноут, пока я отвлекся на телефон, вряд ли будет заморачиваться с гаечными ключами.
    Что же касается "изымающих", то они к ключам тоже далеко не всегда прибегают.
     
  • 2.149, ryoken (ok), 14:14, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> и производителю железа

    Вот совершенно безосновательно :). А ключи там точно сносятся?

     
     
  • 3.202, Аноним (86), 16:54, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во-первых, особо вариантов нет (даже с "опенсорс" железом можно поставить вопрос о воспроизводимости). То, что ключи реально сносятся, легко проверить, попытвашись загрузить винду: если винда грузиться перестала - значит ключ, которым она подписана, доверенным быть перестал.

    Если уж параноить, то там по-другому надо вопрос ставить: можно ли подделать measurement PCR-ов, которые защищают целостность прошивок и конфигурации BIOS-а (включая настройки SB), скомпрометировав систему, сделав при этом вид, что ничего не поменялось.

     
  • 2.266, microsoft (?), 20:41, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > поудалял майкрософтские ключи,

    Это как?

     
     
  • 3.325, Аноним (86), 12:39, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Через KeyTool.efi из efitools (API у UEFI для этого, как и многого другого, стандартизированное). Некоторые производители материнок/ноутов позволяют управлять ключами прям через bios setup.
     
  • 2.364, Michael Shigorin (ok), 22:21, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > В итоге я доверяю только себе и производителю железа

    Уже смешно -- с учётом шлейфа "заботы".

     

  • 1.81, Аноним (81), 12:31, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Классно! Ждём в mainstream дистрибутивах.
     
     
  • 2.437, InuYasha (??), 14:42, 17/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А мы ждём отказа и гневных комментариев от mainstream-дистрибутивов.
     

  • 1.82, Аноним (82), 12:32, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –13 +/
    Местным луддитам всё не так. Если бы не такие люди как господин Поттеринг, вы бы до сих пор на каких-нибудь своих "Искрах" допотопных сидели. Вы радоваться должны что есть люди, которые не требуя ничего взамен делают вашу жизнь удобнее и безопасней, а не ныть по временам когда деревья были больше, а трава зеленее... Если вы так не любите прогресс -- откажитесь вообще от электронных устройств, или сами разработайте такой компьютер, какой вам нравится: без TPM, ME, SecureBoot и прочих вредных по вашему мнению вещей, - сейчас у любого человека есть для этого все возможности. Ленишься или не умеешь? Тогда жри что дают и не выкаблучивайся!
     
     
  • 2.96, Аноним (87), 12:40, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А зачем ты луддит тогда на линуксе сидишь поставь оффтопик 11 и всё.
     
     
  • 3.156, Аноним (160), 14:25, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    На windows 11 нет systemd, pulseaudio, wayland, rust и прочих вещей которые так ненавидят на опеннет.
    Удивительно что все эксперты еще не перешли на windows
     
     
  • 4.179, Аноним (179), 15:18, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А что есть?
     
     
  • 5.182, AlexYeCu_not_logged (?), 15:26, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А что есть?

    Просадка фпс до нуля в окне, которое не в фокусе.

     
  • 5.193, Аноним (152), 16:39, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Есть службы и иконки ✝️
     
     
  • 6.300, Бывалый смузихлёб (?), 09:14, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То ли дело линукс с зомби и демонами
     
  • 5.216, Аноним (216), 17:39, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальные драйверы видеокарты, которые при установке не выдают чёрный экран при загрузке.
     
     
  • 6.274, Аноним (274), 23:08, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это которые при установке цветомузыку устраивают, а после 10 ребутов попёрдывают на 3 фпс?

    и это я ещё про видеокарты, про nvidiа вообще молчу

     
  • 4.263, Аноним (262), 20:26, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Удивительно что все эксперты еще не перешли на windows

    А я и не уходил.

     
  • 2.248, freehck (ok), 19:19, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Тогда жри что дают и не выкаблучивайся!

    Никогда не жрите того, чего не хочется. Выкаблучивайтесь.
    Есть Devuan, например. Он -- старый добрый нормальный Debian.

     
     
  • 3.288, Аноним (288), 07:32, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я, конечно, плюсанул, но Devuan (его мэйнтейнеры) - кал. Как и в большинстве дистров без sysd, которые я пока чекал. Надо будет obarun в виртуалке потыкать.

    А так, лучше уж antiX.

     
     
  • 4.296, freehck (ok), 08:58, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы так грубо не выражался, но в целом причину недовольства оными понять могу.
    Субъективно -- Devuan не настолько плох, во всяком случае был пару лет тому назад.
     
  • 4.297, Янис (?), 08:59, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чем Devuan не угодил?
     

  • 1.84, Аноним (81), 12:33, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вот молодец мужик! Действует, не смотря на волну хейта. Как говорится, «собака лает, караван идёт».
     
     
  • 2.108, Аноним (107), 12:59, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    а почему нет, 20 баксов есть 20 баксов
     
     
  • 3.298, yet another anonymous (?), 09:08, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не 20, а 30. И не баксов, а тетрадрахм.
     

  • 1.85, Аноним (82), 12:34, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –15 +/
    Надеюсь у Поттеринга всё получится! Системд - лучшее, что случалось с линуксом со времён написания Торвальдсом своего ядра.
     
     
  • 2.197, Админ Марии (?), 16:42, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Жырно.
     
     
  • 3.208, Аноним (107), 17:08, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так и не портил бы, хорошо же
     

  • 1.104, DontTreadOnMe (?), 12:49, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Чёт я так и не понял, а как он предлагает менять initrd на машине пользователя и при этом его верифицировать? Или он предлагает поставлять один подписанный initrd для всех?
     
     
  • 2.109, Аноним (86), 13:01, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагается объединять ядро, initramfs и cmdline в один файл и подписывать его. Ну и по дороге доработать утилиты, чтобы это удобнее было делать.
     
     
  • 3.133, DontTreadOnMe (?), 13:46, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так подписать-то всё-равно может только дистрибутив. Если подписывает пользователь с приватным ключём на том же ПК, то смысла этой операции не так, чтобы прям много.
     
     
  • 4.204, Аноним (86), 16:58, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Диск зашифрован должен быть, ясное дело, и автоматическое расшифровывание (без ввода пароля пользователем) должно срабатывать только есть система аттестована на то, что её значимые для безопасности части не поменялись (это делается через PCR-регистры).

    Если грамотно реализовать всю схему, как предлагает Леннарт, то доступ к данным на диске локальный атакующий получить не сможет без наличия уязвимостей в BIOS, прошивке TPM-чипа или процессоре (собственно, только они и останутся доверенными компонентами).

     
     
  • 5.302, DontTreadOnMe (?), 10:17, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Диск зашифрован должен быть, ясное дело

    Ну так если диск зашифрован, то не важно подписан initrd или нет. Ну если диск, содержащий initrd, зашифрован, то его расшифровкой должен заниматься либо uefi, либо загрузчик (последний в описанной схеме опционален, так что не он). А доверять шифрование uefi никто особо не спешит, да и не умеет он нормально шифровать, как правило.

    Ну и это всё не отменяет того, что если приватный ключ лежит на ПК пользователя, то вредоносы могут его использовать для модификации initrd, даже если он запаролен (модифицировав дракут, например). Это не совсем верифицированная загрузка.

     
     
  • 6.327, Аноним (86), 12:48, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Важно, потому что, модифицировав initrd, атакующий может слить ключ шифрования д... большой текст свёрнут, показать
     
     
  • 7.365, Michael Shigorin (ok), 22:26, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, не нужно -- ему же незачем то же самое и на следующий раз.  А в прошивки дисков внедряются ну совсем уж простофили-дурачки. </>
     
     
  • 8.435, Аноним (86), 17:28, 10/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если мы говорим про массовых пользователей, против которых навороченные таргетир... текст свёрнут, показать
     
  • 3.348, Аноним (160), 18:24, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не совсем понимаю, останется ли при этом загрузчик grub?
    Если ядро не может запуститься, как ему передать другие параметры загрузки?
     
  • 2.176, n00by (ok), 15:16, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > он предлагает
    > поставлять один подписанный initrd для всех?

    Да.

     
  • 2.189, Аноним (152), 16:31, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он предлагает сделать зонт который воткнуть в одно место.
    Местные эксперты так возмущаться, потому им видимо уже воткнули.
     

  • 1.106, Аноним (106), 12:56, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Пора уже дифференцировать корпоративный опенсорс от СПО. Корпоративщина под GPL не нужна сообществу. Открытая она или закрытая - вообще без разницы. Сообществу не нужны решения проблем, возникающих исключительно в корпорациях.
     
     
  • 2.130, annonn (?), 13:34, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Согласен, нужно разделить линукс на два ветки:
    - священная СПО
    - мерзкая корпоративная

    Код для каждой из веток оплачивается (временем, деньгами) самостоятельно сообществом или корпорастами.
    Интерсно через сколько времени загнется та или иная ветка.

     
     
  • 3.166, Аноним (106), 14:48, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пока что все выглядит так, что корпорации вынуждены тратить огромные деньги, чтобы избавить линукс от фатальных недостатков. В то время как сообщество своими силами поддерживает то, что ему действительно нужно. И вопреки ожиданиям, "любительских" дистрибутивов становится только больше и их качество на одном уровне с продакшеном корпораций.

    Без инноваций от Поттеринга сообщество уж точно проживет. До него были какие хочешь системы инициализации. 30 лет назад был CFEngine, до которого системг как до луны.

     
     
  • 4.192, Аноним (152), 16:34, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно становится больше. Любой Денис Попов может сделать свой Линукс, просто поменяв обои и имя автора.
     
  • 4.217, анонимус (??), 17:40, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > сообщество своими силами поддерживает то, что ему действительно нужно

    Ноет про убирание древних платформ?

    Сообщество добавляет драйвера? Или может поддержку новых платформ?
    Или может поддержку языков которые избавят "линукс от фатальных недостатков"?
    Сообщество наверное уже забыло как искать дрова на камеру или другие девайсы?

    Благо есть корпорации у которых есть достаточно денег чтобы оплатить работу специалистов.

     
     
  • 5.258, microsoft (?), 20:16, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
      > Благо есть корпорации у которых есть достаточно денег чтобы оплатить работу специалистов.

    И поэтому ты позволишь им присунуть тебе как следует?

     
  • 5.301, Бывалый смузихлёб (?), 09:22, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сообщество добавляет драйвера?
    > Или может поддержку новых платформ?

    По устройствам и платформам производитель/разработчик предоставляет полную документацию всем желающим ?
    Ну, чтобы при наличии навыков и времени, драйвер было реально сделать.
    Нынче доходит до того, что по убогим старым камерам( 1-2МП ) для ESP32-cam производитель категорически не хочет раскрывать данные даже для тамошнего DSP-блока, какие флаги и на что влияют

    В общем, по «корпорациям» дело часто не в обилии или отсутствии денег а как минимум в наличии документации на энные железки

     
  • 5.366, Michael Shigorin (ok), 22:28, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В очередной раз упомяну пророческое из 2007 года:

    ---
    Сообщество было живо, когда они стреляли в нас с другой стороны.
    Сообщество живо, когда они перебежали на нашу сторону, по ночам
    жрут тушенку под одеялом, а утром плачут и просят добавки у
    котла. Сообщество будет жить и когда они перебегут обратно.
    --- http://users.livejournal.com/aen-/80492.html?thread=1304940#t1304940

     
     
  • 6.376, Аноним (106), 02:16, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А потом всех трудоустроили, а кому-то еще и проплатили за то, чтобы СПО никогда ... большой текст свёрнут, показать
     
     
  • 7.423, Аноним (374), 19:41, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > ресурсов сообщества не хватает даже на поддержание пакетов в актуальном состоянии

    Зато хватает времени стругать версии каждый месяц... прям парадокс.

     

  • 1.110, Аноним (110), 13:02, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Леннарт Поттеринг предложил новую архитектуру...
    > Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd...

    Не предложил, а почти поставил перед фактом. "Сообщил"... Вернее: устами Ленарта было сообщено.

     
     
  • 2.126, myhand (ok), 13:26, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нравится не нравится - терпи, моя красавица...  SystemD уже вставлен же?
     
     
  • 3.221, fprintf (ok), 18:01, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    SysVinit на Slackware, OpenRC на Artix. Что такое systemd?
     
     
  • 4.242, Moebius (ok), 19:00, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Slackware нет SysVinit.
     
     
  • 5.295, Янис (?), 08:46, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    BSD-шная система инициализации на Слаквари. Но нет СыстемДы! :)
     
  • 3.367, Michael Shigorin (ok), 22:31, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    e2k-alt-linux, sysvinit.

    :-P

     
     
  • 4.377, Аноним (377), 07:16, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что там с производством ещё одного экземпляра процессора? Ничего?
    А в Зеленограде производство работает? Хотя бы той очень старой версии на 300мгц?
     
  • 4.378, Аноним (377), 07:23, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы хвастаетесь процессором конторый больше никогда выпускать не будут.

    Прохвастайтесь лучше альтом на Эльбрус-2СМ из Зеленограда

     

  • 1.111, warlock66613 (ok), 13:05, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Верификация образа initrd не поддерживается так как данный файл формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива

    Ну и как это предлагается преодолевать-то?

     
     
  • 2.129, Аноним (-), 13:33, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    EFI_stub и без Поттеринга придумали. В LUKS еще просто все шифруется.
     

  • 1.143, Аноним (143), 14:07, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Почему systemd еще не переписывают на раст? Уважаемые растаманы, помогите проекту как вы помогли файрфоксу.
     
     
  • 2.177, Максим (??), 15:17, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Отличная идея! Может они соединятся и аннигилируют!)
     
  • 2.368, Michael Shigorin (ok), 22:32, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Специально поднялся поаплодировать :-D
     

  • 1.145, Шаттлврот (?), 14:12, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Дело хорошее. Пару лет назад пытался собрать систему с разблокировкой LUKS по TPM PCR-ам из clevis и самопальных скриптов, напильника и какой-то там матери.

    При каждом обновлении ядра\initrd приходилось конечно спрашивать пассфразу, дабы разблочить шифрованный том (PCR-ы то меняются при обновлении ядра и\или initrd) и заодно забиндится на новые PCR-ы.

    Конечно если пользователь перезагружается только для применения обновлений ядра, то вся конструкция несколько теряет смысл. Но была и более серьезная проблема - я на нашел PCR-ов, которые реагируют только на изменение ядреного cmdline. Есть такой(номерок правда не помню), но он помимо изменения cmdline реагировал на любой чих вроде подключения usb-устройства. А без контроля на cmdline можно спокойно поменять init на bash, загрузиться и спокойно сдампить PCR-ы, после чего использовать их для разблокировки с livecd...

     
     
  • 2.205, Аноним (86), 17:02, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раньше с clevis-ом (в лучшем случае) да, была засада. Сейчас с systemd-cryptsetup (дергается из initramfs) и systemd-cryptenroll (его нужно вызывать, чтобы добавить TPM2-слот в LUKS) это все делается очень просто.
     
  • 2.161, Аноним (161), 14:30, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема тут не в технологиях, а в том что караван идет, а эти ребята остались
    за бортом, а их караван чет где-то там в RISC-V для военных чего-то когда-то
    сделал один раз, но все засекретили...

    В началае года появилицсь, цифровые кочевники (цифровые БОМ-жи),
    а теперь появились тенологические сироты (цифровые детдомовцы).

     

  • 1.163, Аноним (162), 14:37, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как оно будет работать на Арчах? При обновлении через пакман будут прилетать новые ключи для новых версий пакетов?
    Зачем нужно "Microsoft shim-прослойка"?
     
     
  • 2.190, Аноним (215), 16:32, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На Арче всё всегда будет только так, как ты настроил. И никак иначе.
     
  • 2.294, Янис (?), 08:44, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Арчу бы сперва от сыстемДы избавиться не помешало бы
     

  • 1.165, Янис (?), 14:46, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Линус, для чего ты повзолил Микрософту присоединиться к разработке ядра???
     
     
  • 2.228, Аноним (152), 18:10, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Линукс скатился. Сначала 486 выпили, теперь вот это
     

  • 1.167, Янис (?), 14:49, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот почему не стоить использовать дистры с SystemD. Леня в тихаря делает благое дело: заставляет админов возвращаться на SysVinit
     
     
  • 2.346, пох. (?), 16:54, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Странная опечатка в слове "винду".

     
     
  • 3.369, Michael Shigorin (ok), 22:37, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не, винду в <рифму>.  Пусть те индусы сами из неё линукс делают.

    Посмотрел тут как-то на эти "я решило перезагрузиться" и лишний раз понял, почему хоть и кривенький, косенький, подпёртый костыликами, но всё ещё пока огородами пригодный для применения поперёк воли большого небрата линукс -- милей.

    Долгосрочно так явно не продержится, думаю (как и любая экспонента сложности, подцепленная на ресурсную волну) -- но вряд ли окажется _главной_ проблемой в валу аналогичных.

     
     
  • 4.385, пох. (?), 10:58, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Посмотрел тут как-то на эти "я решило перезагрузиться"

    эти?
    //Unattended-Upgrade::Automatic-Reboot "false";
    //Unattended-Upgrade::Automatic-Reboot-Time "02:00";

    Ну вроде написано что выключены. Правда, при этом дерьмобас с дырой на оставленном без присмотра так и остается с дырой. Да и ssh линкованный с дырявой openssl - тоже.

    А так - да, совершенно омерзительное решение. Винда-то действительно умеет выбирать время когда никому не мешает, да еще и двадцать раз переспросить точно ли можно.

     
     
  • 5.438, InuYasha (??), 16:24, 17/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    /me вспомнил как у половины планеты оказалась на компе десятка - конечно, их 20 раз переспросили )
    Понятно, что групповыми политиками они не занимались, но...
     

  • 1.169, Аноним (169), 14:54, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Весело у вас тут.
    Еще OpenSUSE отправил на свалку как они перешли на системду. Хотя было и жаль, настолько офигенный дистр. Был.
     
     
  • 2.370, Michael Shigorin (ok), 22:40, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://altlinux.org/starterkits :)
     

  • 1.184, Ассемблер (?), 15:33, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Читайте об этом в новой части книги "Леннарт Поттеринг и верифицированная загрузка".
     
  • 1.185, Аноним (185), 15:59, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по переименованию Linux в Lennax.
     
  • 1.186, Golangdev (?), 16:10, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения

    Какой корпоративный бред. Попахивает душными безопасниками, которые не умеют ни кодить ни админить, но придумывают себе и другим работу.

     
  • 1.187, Аноним (187), 16:10, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Капец! Диверсант жив! Гадит сидя в оффисе Майкрософта. Я в шоке! История повторяется, всё время!
     
  • 1.203, Аноним (203), 16:54, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как же хорошо, что во FreeBSD нет Поттерингов и сыстэмДИ
     
     
  • 2.219, fprintf (ok), 17:59, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Послушай выступление "The Tragedy of systemd" от Benno Rice на YouTube, к примеру. Это разработчик из команды FreeBSD. Он говорит, что фряхе нужен свой systemd. Хорошо, что у них всё так медленно развивается.
     
     
  • 3.237, Аноним (237), 18:30, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Benno Rice не прав. Трагедия всех ОС БЗД в том, что они пермиссивно-разрешильные, в этом их слабость. Они до сих пор не поняли, что божественной силой обладает только копилефт.
     
     
  • 4.244, Аноним (203), 19:02, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    GNU GPL это открытость, а BSD истинная свобода
     
     
  • 5.275, Аноним (274), 23:12, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    истинная свобода это рутрекер и дизасм, остальное пропаганда копирастов
     
  • 2.304, Аноним (304), 10:37, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да вот только оно непригодно для чего-то большего чем терминал по ссш
     
     
  • 3.333, Аноним (333), 15:12, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что именно непригодно и для чего?
     
  • 3.357, Аноним (-), 22:06, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Да вот только оно непригодно для чего-то большего чем терминал по ссш

    Ну да, WSB под вендочку не завезли, поэтому современные пингвинятки не могут понять, как этим пользоваться.
    https://i.postimg.cc/Wb0w62MJ/2022-10-27-21-01-51.png
    обт^W подгорай ...

     

  • 1.222, Аноним (222), 18:01, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > UKI-образ оформляется в виде исполняемого файла в формате PE

    Ахаха, образ Линукса в виде майкросрфтовского экзешника!

     
     
  • 2.226, Аноним (152), 18:08, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что в этом смешного?
     
     
  • 3.257, microsoft (?), 20:09, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да... тут уже не до смеха.
     
     
  • 4.261, Аноним (377), 20:20, 26/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ядро уже очень давно можно собрать в виде PE образа для UEFI и загрузить напрямую.

    Раковая опухоль виндовых PE образов поразила линукс уже давно, всем опеннет экспетам уже давно и срочно пора переходить на openbsd или kolibrios

     
     
  • 5.310, Аноним (313), 11:27, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Можно и на Стрекозу. По-моему, не так хардкорно будет.
     
  • 3.371, Michael Shigorin (ok), 22:40, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как... сквозь слёзы, но на "хи-хи", да.
     
  • 2.328, Аноним (86), 12:52, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там не exe-шник в привычным понимании (из-под винды ты его не запустишь). Используется PE-формат потому, что именно он стандартизован для исполняемых файлов UEFI.
     
     
  • 3.343, Аноним (343), 16:45, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Форматом исполняемых файлов должен быть только Эльф.
     
  • 3.372, Michael Shigorin (ok), 22:41, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Гм, а FAT32 почему именно стандартизован?
     
     
  • 4.387, Lex20 (ok), 11:12, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Он самый простой из всех файловых систем, которые везде читаются. Но по мне так лучше бы механизм MBR оставили с его 0x55aa, он ещё проще.
     
     
  • 5.394, n00by (ok), 11:57, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    MBR настолько проще, что более 10-ти лет назад ВинДОС захватили буткиты. https://www.securitylab.ru/analytics/437275.php
     
     
  • 6.395, Lex20 (ok), 15:14, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если "сложнее" делают чтобы "заботиться" о запускаемых мной программах, то я выберу "проще" и дистанцируюсь от такой заботы. Хотите верьте, хотите нет, но у меня основная windows7 без антивируса, и я её ни на что не поменяю.

    То что кто-то скачал нечто из интернета, и это нечто поставило яндекс браузер, и человек пользуется этим браузером, такое часто встречал. Тут матами приходилось объяснять что чел сделал не так и продолжает настойчиво делать.

     
     
  • 7.405, n00by (ok), 07:09, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Руткит никак не проявляет себя в системе. Это его задача, скрыть присутствие. Так что пример с браузером не по теме.
     
     
  • 8.407, Lex20 (ok), 08:47, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Меня то недолюбленная грудастая красотка с кучей денег не позовёт комп чинить ес... текст свёрнут, показать
     
     
  • 9.427, n00by (ok), 07:27, 31/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Альфонс, готовый за мзду малую подставить ближнего Не стоит так шутить ... текст свёрнут, показать
     
  • 6.400, Онаним. (?), 21:06, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так блин, что мешает игнорировать бутсектор-то?
    Но надо сказать MBR - редкостное овнище, потому что всего 4 места под разделы, а дальше лепить костыли в виде extended.
     
     
  • 7.404, n00by (ok), 06:55, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так EFI как раз и игнорирует бутсектор. И проверяет подпись запускаемого образа. Какие ещё могут быть варианты? FAT и Portable Executable - это просто детали реализации. Микрософт, естественно, внедрила своё. Делали бы другие - были бы ext2 и ELF.
     
  • 7.406, Lex20 (ok), 08:35, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем вам вообще разделы?

    Я себе 2 физических диска в писюк поставил, теперь места всегда и на всё хватает, могу хоть в нулевой сектор ntfs записать, и свои данные с компа на комп не надо переносить - взял винчестер с данными да перенёс.

    Efi конечно всё портит, ему только fat32 подходит, особый раздел напрашивается, но у меня писюк 2011 года, у меня mbr.

    Ну а ноут у меня печатная машинка на атоме с 32гб памяти, там все данные на флешке.

    Ещё был ноут hp430, почивший через месяц после конца гарантии. Там был nvme и sata, т.е. 2 ssd можно было впихнуть.

    Короче, как вы организовываете всё так что вам нужны разделы? Тем более больше 2-х

     
     
  • 8.408, Онаним. (?), 09:39, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Окей Нет у нас больше разделов Ставим один диск под EFI, придётся поискать гиг... текст свёрнут, показать
     
  • 8.410, Онаним. (?), 09:50, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Fixed... текст свёрнут, показать
     
  • 8.411, Онаним. (?), 09:52, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дальше Нужен дуалбут Будем ещё дисков ставить ... текст свёрнут, показать
     
     
  • 9.416, Lex20 (ok), 14:04, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Короче необходимость разделов вам кто-то навязал, как я понял Мол раз придумано... текст свёрнут, показать
     
     
  • 10.417, Онаним. (?), 14:40, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Просто мои потребности чуть превышают уровень печатной машинки ... текст свёрнут, показать
     
  • 3.386, Lex20 (ok), 11:11, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Почему не запущу? Поставлю тип исполняемого win32 приложения, докину обёртку для efi стартовой процедуры, смещу entrypoint на обёртку, и он запустится как родной. Можно просто поменять тип по смещению 0xdc с 0xa0 на 0x03 для 32 битных, и он запустится под win32, но понятно почему ляснется.
     
  • 3.388, Lex20 (ok), 11:17, 28/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там для 64 битных загрузчиков формат вызова процедур называется ms_abi, вот тут вообще все карты раскрыты.
     
     
  • 4.412, Онаним. (?), 10:00, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там EFI по ходу на загрузчике, не? Если да, то естественно ms_abi.
     
     
  • 5.413, Онаним. (?), 10:00, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    (вопрос ради вопроса, всё очевидно, речь про EFI)
     
  • 5.415, Lex20 (ok), 14:01, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не, суть в том что ms от microsoft сокращение
     
     
  • 6.418, Онаним. (?), 14:40, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так EFI = MS.
     

     ....большая нить свёрнута, показать (28)

  • 1.239, Kuromi (ok), 18:34, 26/10/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +6 +/
     
  • 1.243, Moebius (ok), 19:01, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Лёнь, у тебя там новая версия svchost.exe недописана. Не отвлекайся.
     
     
  • 2.282, Аноним (280), 00:04, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ээ, на Rust не переписана ещё.
     

  • 1.246, Анонимыч (?), 19:07, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Аноним никогда не бывает довольным.D
     
  • 1.256, Аноним (256), 20:07, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прочитал портянку. Кроме двух упоминаний о LUKS2 так не понял: надёжно ли сейчас шифрование тома? Будут ли риски несанкционированного расшифрования тома после (если) внедрение сией инновации?
     
  • 1.270, BrainFucker (ok), 20:58, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Он же в Microsoft ушёл, вот пусть для Шindoшs и предлагает теперь, Linux тут причём? ))
     
     
  • 2.311, randomize (?), 11:28, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Azure, WSL, CBL-Mariner. Там 100% целые отделы на Линуксе сидят.
     
     
  • 3.317, Аноним (-), 12:18, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты его не понял. Он говорит: "А нафига нам прогибаться под маздай!". Azure, WSL, CBL-Mariner - лично мне эта группа приложений мне не нужна.
     

  • 1.281, lucentcode (ok), 23:57, 26/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уже на UKI с загрузкой из UEFI(прощай Grub2). Удобно. Но, вся эта фигня с верификацией загрузки не понятно зачем мне нужна. Да и любому другому простому юзеру.
     
     
  • 2.329, Аноним (86), 12:55, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    UKI не исключает grub. Последний всё равно нужен, потому что удобного управления вариантами загрузки на уровне UEFI нет. Можно, конечно, напрямую linux-ядро в efi boot entry указать (причем, довольно давно), но так никто не делает обычно, и вряд ли начнет.
     

  • 1.287, КриптоАнонимус (?), 04:13, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    С одного фланга на пингвинятку маньяки rustоманы напали, с другого засланцы от корпораций. Ядро в опасности, хоть форкай и сам развивай.
     
     
  • 2.403, Аноним (403), 02:13, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет никакого смысла развивать поделие троечника Трольвадса. Даже Миникс ближе к идеалу, чем все эти линуксовые потуги.
     

  • 1.289, Янис (?), 07:52, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересно почитать оригинал, от куда была взята эта новость. Может Поттеринг это предложил для Линукса, который пилит Майкрософт (они же пилят свой Линукс)? Его же взяли в Майкрософт пилить ихний Линукс наверное, ну вот он и создал собственную модель загрузки для их Линукса. Что может подтверждаться тем фактом, что это все дело формируется в ихний экзешный файл.
     
     
  • 2.308, Аноним (308), 11:09, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты правильно говоришь они пилят свой дистр cbl-mariner. Но ты не сказал главного что это EEE. Они сделают так как им удобно, а потом просто всех на него переведут. И всё должны будут повторять за майками, а не за красной шляпой.
     

  • 1.290, Онаним. (?), 08:14, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Да нормальная мысль, фиг ли. Ничего нового, всё уже 100500 раз обсосано, и даже работает в тех или иных вариантах. Предлагается стандартизовать, why not?
     
  • 1.309, Аноним (106), 11:15, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    systemd-purchase
     
  • 1.314, Аноним (314), 11:39, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А потом опять окажется недетерминированный результат?
     
  • 1.315, Full Master (?), 11:49, 27/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Придумал то, что я делал 5 лет назад для загрузки с LUKS раздела через EFI Stub с включенным Secure Boot.
     
     
  • 2.330, Аноним (86), 12:57, 27/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тут речь про то, чтобы стандартизировать на уровне разных дистрибутивов этот механизм, а также закрыть ряд мелких дыр (например, то, что через TPM можно вытащить ключ шифрования в любое время уже после завершения работы initrd).
     

  • 1.375, Анончик (?), 01:42, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что то я не понимаю, а если у меня на стадии загрузки с модулем проблема.
    Или мне они не все нужны, или у меня кастомное ядро.
    Дичь какая-то.
     
  • 1.384, Аноним (384), 10:35, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    EEE в действии!
     
  • 1.393, zeroc0der (?), 11:46, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какая прелесть: теперь можно вшивать анальные зонды в линукс, без страха быть обнаруженными =)
     
  • 1.397, Анонимный (ok), 17:53, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Говорим о безопасности, а думаем о монополизации рынка!
    Так называемая "верифицированная загрузка" направленна чтобы усложнить установку линукс обычным пользователям!
    А в идеале для них - монополизировать линукс, то есть уничтожить мелкие сборки энтузиастов которые находятся вне их контроля. Тем самым спровоцировать застой и навязав стандарты из костылей.
     
     
  • 2.426, А (??), 18:40, 30/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Платный контент. Как сделать, чтобы не мог без трат денег использовать компьютер.

    Только это и, скорее всего, больше почти ничего.

     

  • 1.402, Аноним (403), 02:11, 29/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Тот, кто жертвует свободой в обмен на безопасность, в итоге теряет и то, и другое.
     
     
  • 2.409, Онаним. (?), 09:41, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Так тебя ж никто не заставляет шкурбут включать. Оно и без шкурбута загрузится.
     
     
  • 3.424, Аноним (424), 20:22, 29/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А тебя не кто не заставляет работать, зачем работаешь?
     
  • 2.428, Serg (??), 09:07, 01/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не  на безопасность а на удобство
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру