LINUX.ORG.RU

Kay Sievers написал простой загрузчик с поддержкой UEFI

 ,


0

0

Kay Sievers опубликовал в Google+ ссылку на написанный им совместно с Harald Hoyer простой и пока безымянный системный загрузчик, совместимый с UEFI. Загрузчик может показывать простое меню и загружать с системного раздела EFI ядра Linux (собранные с опцией CONFIG_EFI_STUB) и другие EFI-образы. Настройка осуществляется с помощью текстовых файлов, по одному на каждое загружаемое ядро.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: tazhate (всего исправлений: 2)

Т.е. по сути этот загрузчик делает то же самое, что и boot menu в UEFI, только настраивается? Годно.

gentoo_root ★★★★★
()
Ответ на: комментарий от gentoo_root

Пожалуй, годная замена грабу на моём компьютере.

gentoo_root ★★★★★
()
Ответ на: комментарий от krakatau

Поясните, чем это отличается от GRUB 2?

В отличие от grub2, это именно загрузчик, а не целая операционная система с модулями и драйверами для кучи ФС и протоколов загрузки (linux kernel, multiboot, multiboot2, загрузка ELF и ELF64, chainloader и т.п.), которой по сути является граб. Этот умеет только грузить файлы со специального раздела EFI с ФС FAT32, причём определённого формата. Туда бы только допилить поддержку паролей (если сейчас нет), и можно пользоваться.

gentoo_root ★★★★★
()
Ответ на: комментарий от gentoo_root

это именно загрузчик, а не целая операционная система

Туда бы только допилить поддержку паролей

Ну ладно.

krakatau
()
Ответ на: комментарий от krakatau

Ну а чо, пароли на загрузчик нужны, чтобы случайный пользователь, завладевший ноутом, не смог воспользоваться ОС и попытаться взломать её из загруженного состояния (был же прецедент, когда блокировка экрана снималась нажатием Ctrl-Alt-*, т.е. можно было включить ноутбук из спящего режима, нажать Ctrl-Alt-* и получить рута, потому что там осталась открытая консоль) и чтобы случайный пользователь не запустил восстановление системы до состояния при покупке, загрузившись с другого раздела.

gentoo_root ★★★★★
()
Ответ на: комментарий от ukr_unix_user

точно gentoo_root?

А что, есть сомнения? Или ты будешь спорить с тем, что реально был баг в иксах, который позволял прибить скринсейвер простым нажатием Ctrl-Alt-*, и это позволяло получить доступ даже к выключенной системе, находящейся в спящем режиме? Нет никакой гарантии, что нет других настолько же эпичных багов и что их не найдут в будущем, поэтому чем раньше ограничить несанкционированный доступ, тем надёжнее защита.

gentoo_root ★★★★★
()
Ответ на: комментарий от Harald

а до этого чем линукс грузился с UEFI?

Грабом 2, например. В федоре какой-то патченый граб 1 даже есть.

gentoo_root ★★★★★
()
Ответ на: комментарий от gentoo_root

Не думаю, что есть хоть какая-то защита, которую нельзя убрать за 10 минут при наличии физического доступа.

Хотя защитить от незаметного доступа можно.

x3al ★★★★★
()
Ответ на: комментарий от x3al

Не думаю, что есть хоть какая-то защита, которую нельзя убрать за 10 минут при наличии физического доступа.

Шифрование на весь винт, кроме /boot (чтобы нельзя было подменить /etc/shadow, например), пароль на загрузчик, пароль на биос, загрузка только с винта. Если биос без сюрпризов типа универсального пароля и пароль не сбрасывается выниманием батарейки (у меня не сбрасывается), то за 10 минут получить доступ к системе, установленной на ноуте, не получится. Загрузиться в систему с флешки можно, сняв винт и подменив ядра в /boot, но доступа к данным на ноуте не будет. Можно ещё поменять материнку или перепрошить EEPROM с паролем на программаторе, но это не сделается легко и за 10 минут, к тому же даже туда не всегда пароль пишется просто так, а есть привязки к серийным номерам. Поэтому предотвратить доступ к установленной системе можно, а её снос вызывает трудности, но возможен. А неубираемый пароль на биос будет очень неприятным сюрпризом и дополнительным неудобством для установки другой системы.

gentoo_root ★★★★★
()

Чем не устроил ELILO?

AITap ★★★★★
()
Ответ на: комментарий от gentoo_root

Загрузиться в систему с флешки можно, сняв винт и подменив ядра в /boot, но доступа к данным на ноуте не будет.

Но тогда можно заменить образ initramfs (который лежит незашифрованный в /boot) на троянский, который будет посылать пароль по e-mail хакеру. Эта атака даже название имеет, «evil maid attack», и защита от нее - только Secure Boot.

AEP ★★★★★
() автор топика
Ответ на: комментарий от muhas

и поддержку ext2 хотя бы, а то бут в fat32 держать как-то не кошерно)

EFI требует именно FAT32, поскольку этот раздел читается самим EFI-BIOS'ом.

AEP ★★★★★
() автор топика
Ответ на: комментарий от gentoo_root

это про сферичиский ноут в чемодане, который пристёгнут наручниками к владельцу? параноя это.

ukr_unix_user ★★★★
()
Ответ на: комментарий от muhas

бут в fat32 держать как-то не кошерно)

Не совсем бут, а именно /boot/efi. Но ядра и конфиги с паролями загрузчика действительно придётся перенести на фат, поэтому /boot/efi надо будет монтировать аккуратно, с правами 700.

gentoo_root ★★★★★
()
Ответ на: комментарий от AEP

Но тогда можно заменить образ initramfs (который лежит незашифрованный в /boot) на троянский, который будет посылать пароль по e-mail хакеру.

Да, можно, но для этого надо снять винт, а потом ещё и вернуть ноут хозяину. Если просто какие-нибудь лохи сопрут, то они будут долго возиться, даже если диск не шифровать совсем.

gentoo_root ★★★★★
()
Ответ на: комментарий от gentoo_root

Туда бы только допилить поддержку паролей (если сейчас нет)

Ещё в grub 1.* поддержка паролей была :)

renya ★★★★★
()

свой лисапед малиной пахнет

punya ★★
()
Ответ на: комментарий от gentoo_root

Т.е. по сути этот загрузчик делает то же самое, что и boot menu в UEFI, только настраивается?

Ты удивишься, но, как ты выразился «boot menu» тоже настраивается. И ничто не мешает грузить ядро и initrd средствами самого EFI.

Lighting ★★★★★
()
Ответ на: комментарий от gentoo_root

Вы, видимо, забыли про гаечный ключ за 5 долларов.

buddhist ★★★★★
()

По ссылке вообще пишут, что это форк rEFInd'а.

Lighting ★★★★★
()
Ответ на: комментарий от Lighting

Т.е. по сути этот загрузчик делает то же самое, что и boot menu в UEFI, только настраивается?

Разница в том, что этот загрузчик настраивается файлами на диске, а не содержимым NVRAM, которое очищается при сбросе настроек материнской платы на Factory Default.

AEP ★★★★★
() автор топика
Ответ на: комментарий от zloelamo

У меня grub2 грузится нормально. Может проблема не в нём? ЗЫ сколько раз в день ты видишь свой загрузчик?! Сколько времени в процентах его загрузка отнимает от общего времени работы?!

erfea ★★★★★
()
Ответ на: комментарий от Lighting

Ты удивишься, но, как ты выразился «boot menu» тоже настраивается. И ничто не мешает грузить ядро и initrd средствами самого EFI.

Удивляюсь. Я не знаю, как его настроить так, чтобы оно передавало параметры ядру (чтобы не задавать их на этапе компиляции) и чтобы оно ещё и загружало initrd (чтобы не вкомпиливать его прямо в образ ядра). Может, расскажешь? Я бы себе так настроил, меня стандартный загрузчик EFI почти устраивает, кроме этих проблем.

gentoo_root ★★★★★
()
Ответ на: комментарий от erfea

Или проще говоря, в отличии от граба неумеет нифига )))

А загрузчик и не должен уметь всё, что умеет загружаемая ОС.

gentoo_root ★★★★★
()
Ответ на: комментарий от renya

Ещё в grub 1.* поддержка паролей была :)

Я знаю и, ты не поверишь, даже пользовался ей. Вот только какое отношение имеет граб к загрузчику Kay Sievers'а, в котором паролей пока что нет?

gentoo_root ★★★★★
()
Ответ на: комментарий от muhas

тогда нафиг этот загрузчик нужен кады тот же grub efi всё умеет?

Он маленький и просто выполняет свою функцию — загружает ядро и передаёт ему управление, в отличие от граба, который представляет собой маленькую операционную систему с кучей функций.

gentoo_root ★★★★★
()
Ответ на: комментарий от AEP

Разница в том, что этот загрузчик настраивается файлами на диске, а не содержимым NVRAM, которое очищается при сбросе настроек материнской платы на Factory Default.

Это, по-твоему, недостаток? Тем более, из-за этого загрузчик не позволяет, например, выбрать определённое ядро для следующей загрузки из юзерспейса, что, по-моему, отличная фича.

Lighting ★★★★★
()

Kay Sievers? А в systemd этот загрузчик когда интегрируют? А когда интегрируют, можно ли будет его собирать без поддержки systemd «длительное время»?

anonymous
()
Ответ на: комментарий от ZogG

вы путаетесь, если компьютер уже после загрузчика в иксах, как пароль в загрузчике поможет?

Я не путаюсь, перечитайте внимательно моё сообщение и поймите, что компьютер был в спящем режиме.

gentoo_root ★★★★★
()
Ответ на: комментарий от gentoo_root

В отличие от grub2, это именно загрузчик, а не целая операционная система с модулями и драйверами для кучи ФС и протоколов загрузки (linux kernel, multiboot, multiboot2, загрузка ELF и ELF64, chainloader и т.п.), которой по сути является граб. Этот умеет только грузить файлы со специального раздела EFI с ФС FAT32, причём определённого формата. Туда бы только допилить поддержку паролей (если сейчас нет), и можно пользоваться.

забыл про «small emacs-like text editor» (что, кстати, очень круто :)

kost-bebix ★★
()
Ответ на: комментарий от muhas

Просто использует ненужный fat.

s/ненужный fat/ненужную, анально огорженную недействительными патентами говно фс от ненужной быдлокорпорации

Отличная функция загрузчика ядра линукс.

Я таки сказал необходимая )))

erfea ★★★★★
()
Ответ на: комментарий от muhas

Просто использует ненужный fat. Отличная функция загрузчика ядра линукс.

Что тут поделать, если спецификация EFI принуждает его использовать. К тому же реализация FAT простая и небольшая, что позволяет запихнуть её в прошивку, в отличие от, например, btrfs или ext4. Хотя на Mac'ах раздел EFI отформатирован в HFS, и тамошнее UEFI его поддерживает.

gentoo_root ★★★★★
()
Ответ на: комментарий от gentoo_root
       -@ | --append-binary-args
              append extra variable args from file (use - to read from stdin).
              Data  in  file is appended as command line arguments to the boot
              loader command, with no modification to the  data,  so  you  can
              pass any binary or text data necessary.
Lighting ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.