Setup Machine Owner Key (MOK)

а что если подписать все модули и забыть?

Обнули диск и переустанови в режиме legacy.
UEFI глючит всегда, и на всём. Это факт.
Его придумали чтобы бороться с пиратами под виндой.
Тебе на линуксе он не нужен, безопасней не станет.

Могу только плюсануть этого регистранта.

Если у тебя не 4 Тб накопитель uefi тебе нафиг не нужен.

Да и даже для 4ТБ может найтись решение - https://superuser.com/questions/1005475/trying-to-understand-linux-support-for-4tb-hard-disk-drive-on-legacy-bios , в крайнем случае загрузиться с меньшего диска. А если «legacy BIOS» опенсорсный - например SeaBIOS - то ничто не мешает добавить в него поддержку. Правда я пока не сталкивался с таким вопросом, потому что для отказоустойчивости всегда выгоднее взять 2 по 2ТБ

Это факт.

Не надо выдавать желаемое за действительное.

UEFI глючит всегда, и на всём.

Не всегда и не на всём. Но есть определённый список криворуких вендоров, у которых глючит всегда, да. (Списка не будет потому что я за дебилами не слежу.)

Его придумали чтобы бороться с пиратами под виндой.

Какая чушь…

безопасней не станет

Тут да.

Тебе на линуксе он не нужен

Очень зависит от юзкейса.

Я бы рад включить режиме legacy, а нету его в BIOS

Любой UEFI - та ещё фигня, хотя бы потому что стандарт весьма ущербный. Люди не переходили на UEFI осознанно, он им достался в нагрузку с новым железом. А вот мы, коребутчики - те, у кого есть реальный выбор «использовать дополнение SeaBIOS или UEFI Tianocore к опенсорсной прошивке coreboot»: >90% из нас выбирают SeaBIOS судя по репортам из board-status! И это лучшее подтверждение реальной не-нужности UEFI, как и большинства шняг из навязываемых свыше.

Любой UEFI - та ещё фигня, хотя бы потому что стандарт весьма ущербный.

Ты прав, но есть нюанс: я не говорю что это нужно большинству, но в UEFI самая стоящая фича — расширяемость.

А вот мы, коребутчики

Я не доверяю coreboot потому что никто не знает (или кто-то знает, но их так мало, что я таких людей не нашёл) как на нём будет работать FreeBSD. ☺

Ну и по опросам ЛОРовцев-юзеров thinkpad+coreboot, у него немного стрёмно с энергосбережением.

«использовать дополнение SeaBIOS или UEFI Tianocore к опенсорсной прошивке coreboot»: >90% из нас выбирают SeaBIOS

Потому что Tianocore кривой (если мои данные ещё не устарели).

в UEFI самая стоящая фича — расширяемость

На моём ноуте до установки coreboot, куча модулей в UEFI была вообще от Intel, хотя у меня AMD. А общее количество модулей - 284, почти 300! Сколько из них реально использовались? Создалось впечатление, что индусы-трюкачи жонглируют там UEFI-модулями у себя в подвале, пока железо не станет грузиться: «тяп-ляп и в продакшн», как говорится.

Такой бездарный подход к разработке оказался возможен в том числе и благодаря расширяемости, и не может не сказываться на качестве итогового продукта. К тому же, благодаря расширяемости легче засунуть туда что-то левое: малвари под UEFI - это уже не миф. И получается, что расширяемости рады индусы (легче склепать быдлобиос) и малварщики, одни пользователи страдают.

Я не доверяю coreboot потому что никто не знает, как на нём будет работать FreeBSD. ☺

Продвинутые ОС вроде Linux работают идеально (правда Windows может порадовать синим экраном если ACPI для твоей платы недостаточно хорош). Например, если есть проблемы с таблицами прерываний: если случай не совсем запущенный, Linux (как и FreeBSD скорее всего) все эти проблемы разрулит автоматически и пользователь вообще ничего не заметит; а вот в простых ОС вроде KolibriOS может не работать половина устройств. Но и ACPI и таблицы прерываний, зачастую проблемные и в проприетарных БИОСах/UEFI. Тут же, благодаря опенсорсности - хотя бы есть реальная возможность исправить, было бы время и желание.

Ну и по опросам ЛОРовцев-юзеров thinkpad+coreboot, у него немного стрёмно с энергосбережением.

Тоже зависит от конкретной платы, и также поправимо. Дело в том, что энергосбережение зачастую не самое первое в приоритетах, а у коребутчиков помимо coreboot и основной работы/подработки как правило ещё дюжина-другая проектов. Но тут хотя бы есть возможность допилить. Зато у кривого UEFI который у меня стоял раньше - например, нерабочий IOMMU, который никогда не заработает потому что обновлений уже не будет. А в коребут он работает. Люди поэтому на нём и сидят, что существующие плюсы заметно перевешивают минусы (ноутами часто пользуются возле розеток, и на энергосбережение получается подзабить).

Потому что Tianocore кривой (если мои данные ещё не устарели).

Если бы UEFI был реально нужен, коребутчики бы допилили Tianocore и сидели на нём, но оказалось что SeaBIOS хватает практически всем.

Почему никто? Я видел как минимум одного разработчика coreboot, который пользовался FreeBSD. Я про FreeBSD ничего сказать не могу, но OpenBSD работает отлично.

На FreeBSD у меня полтора года назад в логе ядра какие-то ошибки связанные с ACPI были. Я её минут на 5 запускал, ничего конкретного сказать не могу. На OpenBSD другая реализация ACPI, там ошибок не было. На Linux тоже нет. Не знаю, что не так с фряхой.

На моём ноуте до установки coreboot, куча модулей в UEFI была вообще от Intel, хотя у меня AMD.

Если условный Вася напишет программу, то она точно не заработает у Пети? Что за бред? UEFI по большей части и пилится в Intel.

А общее количество модулей - 284, почти 300!

На все случаи жизни. Ну и да, там нет комбайнов. Один модуль — одна задача.

Сколько из них реально использовались?

Может даже и ни одного. Тут либо как OEM решит, либо как конечный пользователь сможет настроить.

бездарный подход к разработке

А, то есть комбайны — лучшее решение? Нуок. Дальше я тебя, пожалуй, читать не стану. ☺

Я про FreeBSD ничего сказать не могу, но OpenBSD работает отлично.

Но ты ведь понимаешь что это разные ОС, а не как в случае с дистрибутивами Linux?

Я видел как минимум одного разработчика coreboot, который пользовался FreeBSD.

Так себе мотивация для перехода на coreboot. ☺
А шиться в coreboot (с ненулевой вероятностью окирпичить девайс, у меня лапки) чтобы проверить и потом шиться обратно (ещё и фиг знает как вертать всё взад) в случае если не устроит — так себе идея. ☺

На FreeBSD у меня полтора года назад в логе ядра какие-то ошибки связанные с ACPI были. Я её минут на 5 запускал, ничего конкретного сказать не могу.

Это давно, за это время и coreboot изменился, и FreeBSD.

На OpenBSD другая реализация ACPI, там ошибок не было.

Ещё от железа зависит.

На Linux тоже нет.

Ну и на Windows тоже их нет. Популярное-то везде работает, на то оно и популярное, чтобы оправдать ожидания пользователей. ☺

не получилось подписать модули virtualbox, может у кто подписывал, я там понимаю если был поставил их репозитория Mint проблем бы не было, я поставил virtualbox из репозитория virtualbox

куча модулей в UEFI была вообще от Intel
Что за бред?

я имею в виду модули для Интеловского железа. Вот что они делали в UEFI моего AMD-шного ноута?

UEFI по большей части и пилится в Intel

А всякие AMI и InsydeH2O тогда чем занимаются? В носу ковыряются? Intel всего лишь разработала спецификацию UEFI и пишет модули для своего железа. Всё остальное делают компании специализирующиеся на разработке БИОСов и UEFI.

А, то есть комбайны — лучшее решение?

Какие ещё комбайны? я имел ввиду, что если уж кучу совершенно чужеродных модулей эти индусы выкинуть поленились, то и в другом такой же хаос и бардак. Почему-то, когда я собираю coreboot под свой AMD-шный ноут, в него не вкомпиливается всякая ересь для хлама от Интела. И в результате весь БИОС весит меньше мегабайта - а не эта раздутая хрень в 4MB

я имею в виду модули для Интеловского железа. Вот что они делали в UEFI моего AMD-шного ноута?

Такие вопросы надо задавать OEMщикам, а не рандомному коту на ЛОРе.

я имел ввиду, что если уж кучу совершенно чужеродных модулей эти индусы выкинуть поленились, то и в другом такой же хаос и бардак.

Щаз везде бардак. Смирись.

Можно смириться, а можно перейти на опенсорсный БИОС coreboot :) Да, железо поддерживающее его, медленнее чем какая-нибудь новая YOBA, но зато и безопаснее и намного дешевле. Если нужна производительность, можно собрать кластер из кучи таких компов.

Но ты ведь понимаешь что это разные ОС, а не как в случае с дистрибутивами Linux?

Конечно.

Ну и на Windows тоже их нет.

Windows под coreboot как раз таки может упасть в BSOD. :)

с ненулевой вероятностью окирпичить девайс

А какой девайс у тебя?

Если нужна производительность

Мне нужно чтобы жило от батареи как можно дольше. Оригинальный фирмварь ноутов под это заточен, про coreboot ничего подобного не слышал.

На десктопе мне вообще пофиг что там стоит, а на серверах пусть стоит что стоит, там ехать, а не шашечки.

Windows под coreboot как раз таки может упасть в BSOD. :)

Лол, видел это где-то на сайте coreboot. А ещё там надо в Windows многие дрова руками переустанавливать, например для тачпадов.

А какой девайс у тебя?

ThinkPad X230.
Там работает coreboot, derlafff (кастовать не имеет смысла) рассказал что никаких проблем нет, но у него Linux, а я не использую Linux.

Да, у меня тоже такой есть. На X230, как и на остальных моделях 30-й линейки, coreboot можно прошить софтварно, если что: https://github.com/gch1p/thinkpad-bios-software-flashing-guide. В разделы me и fd на флешке писать не получится, а в bios спокойно. Можно и бекап софтварно сделать, и потом обратно его залить тоже без программатора. (Инфа на случай если вдруг захочешь попробовать когда-нибудь.)

Схоронил, благодарю. :3

В coreboot качество энергосбережения существенно различается для разных платформ и плат: для некоторых оно может не уступать оригинальному, а на других наверное народ просто ещё не озаботился чтобы допилить: всякое ACPI - это вещь не то что бы сложная, но уж очень скучная по сравнению с остальным. Какие платы есть у тебя? На поддерживаемых coreboot-ом можешь попробовать его ради интереса и сравнить.

На десктопе мне вообще пофиг что там стоит, а на серверах пусть стоит что стоит, там ехать, а не шашечки.

Есть 7 серьёзных причин перейти на coreboot, возможно даже с заменой платы на поддерживаемую им:

1) Повышенная безопасность: защита от всевозможных малварей под UEFI, иногда даже встроенных в неё изначально (Computrace)
2) Практически пожизненные обновления БИОСа: под мой ноут офиц.обнов уже лет 6 не было, а coreboot до сих пор тянет
3) Фичи, которых нет в официальном БИОСе: в моём случае IOMMU и продвинутая настройка всех таймингов оперативки
4) Лучшая работа многих других фич: UEFI отчасти потому и закрытые, что индусам стыдно выкладывать свой быдлокод, а в coreboot каждый коммит проходит строгий контроль качества
5) Отсутствие мешающей фигни вроде SecureBoot: если нужен нормальный аналог этой срамоте от Microsoft, в coreboot есть vboot
6) Дополнительные возможности: благодаря маленькому размеру самого coreboot, занимающего лишь небольшую долю БИОС-чипа, а также поддержке сжатия LZMA - на освободившееся место можно понапихать много всего интересного: и какой-нибудь мини-линукс, и кучу дискетных ОС (например KolibriOS имеет графический интерфейс, кучу прог и может выходить в интернет - и всё уместилось в 1.44МБ потому что на ассемблере)
7) Возможность поучаствовать в интересном проекте

На поддерживаемых coreboot-ом можешь попробовать его ради интереса и сравнить.

Я уже писал что у меня лапки. Если я его окирпичу, то уже вряд ли восстановлю. А ноут мне нужен постоянно, потому подобные эксперименты я на нём проводить как-то… не готов.

Повышенная безопасность: защита от всевозможных малварей под UEFI, иногда даже встроенных в неё изначально (Computrace)

Это всё хорошо, но безопасность (проверки на каждый чих, а не просто отсутствие дыр) обратно пропорциональна производительности.

Практически пожизненные обновления БИОСа: под мой ноут офиц.обнов уже лет 6 не было, а coreboot до сих пор тянет

Ну, тут тоже никто ничего не обещает. Но да, ты можешь просто взять код и поддерживать нужную тебе платформу самостоятельно. С оригиналом не прокатит — они даже через десять лет после дропа поддержки железки не выкатят исходники для неё (а то юзер ведь не купит новую!).

Фичи, которых нет в официальном БИОСе: в моём случае IOMMU и продвинутая настройка всех таймингов оперативки

Фичи-то может и есть в проприетарных, но простым смертным недоступны (юзер же тупой, всё сломает!).

Лучшая работа многих других фич: UEFI отчасти потому и закрытые, что индусам стыдно выкладывать свой быдлокод, а в coreboot каждый коммит проходит строгий контроль качества

Оно больше закрытое из-за NDA. Но да, конь-тролль качества там никакой — тяп-ляп и вывалить на прилавок.

Отсутствие мешающей фигни вроде SecureBoot: если нужен нормальный аналог этой срамоте от Microsoft, в coreboot есть vboot

Почитал по-диагонали про, выглядит вкусно.

Дополнительные возможности: благодаря маленькому размеру самого coreboot, занимающего лишь небольшую долю БИОС-чипа, а также поддержке сжатия LZMA - на освободившееся место можно понапихать много всего интересного: и какой-нибудь мини-линукс, и кучу дискетных ОС (например KolibriOS имеет графический интерфейс, кучу прог и может выходить в интернет - и всё уместилось в 1.44МБ потому что на ассемблере)

Для PXE coreboot надо рефлэшить в чип, или это как-то переключается без рефлэша?

Возможность поучаствовать в интересном проекте

GPLv2

Нет, спасибо. ☺ Баги репортить — сколько угодно, тривиальные патчи — может быть. Не v3, конечно, но всё равно код под этой лицензией я писать не хочу, «Коготок увяз — всей птичке пропасть.»

круто, но моего железа https://www.coreboot.org/Supported_Motherboards в списке нету, а ничего что через bios происходить регулировка кулером CPU, не страшно шить coreboot?

Если я его окирпичу, то уже вряд ли восстановлю

Раскирпичить на самом деле проще простого: достаточно перед прошивкой coreboot сделать дамп проприетарной прошивки (чтобы не пришлось вручную извлекать из утилиты для апдейта UEFI), и если образ coreboot не взлетит - можно с лёгкостью прошить этот дамп.

Это всё хорошо, но безопасность (проверки на каждый чих, а не просто отсутствие дыр) обратно пропорциональна производительности.

Безопасность бывает и пассивная (отсутствие дыр) и активная (проверки на каждый чих), причём обе важны и дополняют друг друга. В дефолтном конфиге coreboot отличная пассивная безопасность, а активную можно усилить например использованием компонента vboot и использованием опций вроде сброса содержимого оперативки. В итоге получаем превосходный результат, с которым не сравнится ни один UEFI. Причём даже с активной безопасностью выкрученной на максимум - coreboot по-прежнему грузится быстрее чем UEFI. Получается, при переходе на coreboot ты получаешь превосходную безопасность, не жертвуя при этом производительностью.

Фичи-то может и есть в проприетарных, но простым смертным недоступны (юзер же тупой, всё сломает!).

И всё же почему-то фичи вроде IOMMU и настройки таймингов - как правило есть на практически всех десктопах, а на большинстве ноутбуков или недоступны или попросту сломаны. Возможно, это сделано для доп.дифференциации рынка - вынудить пользователя купить ноут подороже просто потому что там БИОС не залочен. Разумеется, в coreboot такой фигни нет: и на ноуте и на десктопе со схожей архитектурой процессора мне доступен одинаковый спектр опций - как и должно быть.

Для PXE coreboot надо рефлэшить в чип, или это как-то переключается без рефлэша?

Лично я PXE (дополнением ipxe) не пользовался, но все эти дополнения - и дискеты, и вторичные payload'ы вроде coreinfo, и тетрис с мемтестом - всё доступно в Boot Menu у первичного payload'а SeaBIOS по клавише Escape. Разумеется, для добавления нового дополнения в coreboot понадобится рефлеш, но по крайней мере его можно добавить без пересборки основной части coreboot - а просто использовать cbfstool для операций с внутренней файловой системой CBFS образа coreboot: им можно и добавлять новые дополнения, и удалять старые для очистки места.

GPLv2

код под этой лицензией я писать не хочу

А что же в ней плохого? То, что она требует опенсорсить модификации своих исходников если ты распространяешь образы coreboot? Так «sharing is caring» :) И даже если бы coreboot был под лицензией MIT, денег со владельцев всяких б/у-шных Thinkpad'ов ты все равно не настрижёшь. Например, ты создал какой-нибудь супермод коребута, а исходниками делиться не хочешь чтобы никто кроме тебя не мог его компилить - но тогда и прошивать твой мод тоже никто не захочет: а вдруг там бэкдор? Поэтому лицензия не особо-то и важна: ведь под какой лицензией coreboot бы ни был, заработать на нём можно только предоставляя поддержку и кодить фичи за зарплату или донаты, делясь при этом исходниками.

круто, но моего железа https://www.coreboot.org/Supported_Motherboards в списке нету

Могу только предложить продать своё железо и на вырученные деньги купить подобное из списка поддерживаемого) А если твоё железо поддерживаемой архитектуры и десктоп, то весь переход может ограничиться заменой материнской платы на поддерживаемую за пару тысяч

а ничего что через bios происходить регулировка кулером CPU, не страшно шить coreboot?

Даже с нерабочей системой охлаждения ломались только слишком уж древние процы эпохи всяких Pentium. Все более новые - просто отключаются от перегрева, поэтому железо уцелеет в любом случае. И вообще я ни разу не видел чтобы coreboot сломал железо :) Хотя, регулировать скорость вращения вентиляторов всяко удобнее через специальный отдельный контроллер, с физическими/сенсорными кнопками / поворотными регуляторами и выносными датчиками температуры. Например, этот навороченный https://aliexpress.com/item/32347094974.html , или подешевле https://aliexpress.com/item/4000037964860.html Обычно их ставят на десктопе, но при желании и в ноут можно впендюрить - разумеется, поменьше этого, и возможно самодельный ;)

Кстати, я у себя на коребутном десктопе (ASUS A88XM-E с AMD A10-6700) даже кулер процессора отключил от материнки и к FAN-контроллеру подключил. Очень удобно: когда хочешь прибавляешь, когда хочешь убавляешь :) А если маленькая нагрузка и/или радиатор большой, может прокатить даже пассивное охлаждение, т.е. вентилятор в ноль и наслаждаешься тишиной.

Хорошо что coreboot не просит при загрузке нажимать F1 - как это делает типичный UEFI, если к материнке не подключен вентиль то с выпученными глазами говорит «CPU Fan Error» и не хочет дальше грузиться. Даже на отсутствие клавы ругается - и какой дурак придумал «Keyboard Error, Press F1» ;)

Раскирпичить на самом деле проще простого: достаточно перед прошивкой coreboot сделать дамп проприетарной прошивки (чтобы не пришлось вручную извлекать из утилиты для апдейта UEFI), и если образ coreboot не взлетит - можно с лёгкостью прошить этот дамп.

Но уже программатором. Ещё раз: у меня лапки, даже с прищепкой есть вероятность замкнуть контакты. В остальном проблем нет.

cbfstool

Надо будет попробовать собрать утилиты на FreeBSD, если взлетят, то таки попробую. ☺

А что же в ней плохого?

Она "вирусная", мне это не нравится (но я лишь обозначил свою позицию, никого ни к чему не склоняю). Я могу не коммитить код, а просто репортить баги. ☺

Не просто так я написал:

«Коготок увяз — всей птичке пропасть.»

(Подробнее ниже.)

То, что она требует опенсорсить модификации своих исходников если ты распространяешь образы coreboot? Так «sharing is caring» :) И даже если бы coreboot был под лицензией MIT, денег со владельцев всяких б/у-шных Thinkpad’ов ты все равно не настрижёшь. Например, ты создал какой-нибудь супермод коребута, а исходниками делиться не хочешь чтобы никто кроме тебя не мог его компилить - но тогда и прошивать твой мод тоже никто не захочет: а вдруг там бэкдор? Поэтому лицензия не особо-то и важна: ведь под какой лицензией coreboot бы ни был, заработать на нём можно только предоставляя поддержку и кодить фичи за зарплату или донаты, делясь при этом исходниками.

Ну вот допустим я что-нибудь напишу для coreboot, со временем оно может даже обрасти, и вдруг я решу что это всё может быть выделено в отдельный независимый проект (отдельно от coreboot), быть использовано как часть другого проекта (в том числе под другой лицензией) или мой наниматель захочет перекупить мой код, и… я уже не имею права изменить лицензию, особенно если кроме меня мой код изменяли/дополняли другие участники. Получается я вроде как автор кода, но уже не имею на него права.

И противоположная ситуация: допустим я распространяю какой-то бинарь под 2-Clause BSD, кто-то его дизассемблировал и воспроизвёл; он молодец, и он не нарушает лицензию пока распространяет полученный код под лицензией BSD с сохранением списка авторов (а технически даже имеет право добавить себя в этот список). Или наоборот: кто-то написал код под BSD и раздаёт его в открытом виде, и я смог адаптировать его под проект своего нанимателя, я могу закрыть код с сохранением списка авторов, но дальнейшая поддержка будет уже на мне, в том числе мерж кода из апстрима.

Свобода должна быть свободной: код должен быть свободен не только для конченного потребителя конечного пользователя, но и для разработчика. Но это моя позиция, я никого ни к чему не склоняю. Каждый делает то что считает правильным.

// Я планировал что этот коммент будет гораздо короче. ☺