Поясните за © неотключаемый Secure Boot

Достаточно подписанного стороннего загрузчика. Вот из-за этого и плевались в эту технологию — больше криков чем защиты. О проверке подписей модулей ядра тебе придётся позаботиться самому.

И microsoft (или кто там) подпишет этот загрузчик, который сможет грузить произвольную сборку ведра?

У фёдоры возьми, еще кто-то подписывал у них. Не помню уже.

Подписанным должен быть только тот, кого напрямую исполняет UEFI (то есть загрузчик или ядро), остальное уже не в его компетенции, там apparmor/selinux, слава котам, ещё не прикрутили.

Кстати, отсутствие явной галочки Secure Boot не говорит о том, что он неотключаем. Есть вариант с включением CSM, и, ЕМНИП, ещё что-то. А иногда оно тупо зовётся «Windows 8»/«Other OS» (которое я у себя в UEFI искал полдня, лол).

"Разработчики" Fedora и Ubuntu часто пропадают под столом у Micro$oft, потому у них 100% подписанные grub2. За остальных не знаю. Да и за grub2 не интересуюсь.

И microsoft (или кто там) подпишет этот загрузчик, который сможет грузить произвольную сборку ведра?

1. скачай ISO-образ Федоры.. распакуй его себе на свой компьютер

2. возьми себе /EFI/BOOT/BOOTX86.EFI и /EFI/BOOT/MokManager.efi — положи их в свой каталог EFI/BOOT/

3. файл /EFI/BOOT/grubx64.efi — вот вместо него положи свой EFI-файл загрузчика (назови также «grubx64.efi» и положи рядом с теми двумя файлами).. не обращай внимание на название — это не обязательно должен быть GRUB . подойдёт любой EFI-загрузчик.

готово. проверено многократно!

а чтобы удалить хэши из биоса — воспользуйся официальной утилитой «mokutil» .. или НЕофициальной (моей) утилитой uefi-shim-reset

Достаточно подписанного стороннего загрузчика

О проверке подписей модулей ядра тебе придётся позаботиться самому

Так чего достаточно, загрузчика или ядра с модулями? Secure Boot как бы в том, чтобы не давать грузить неподписанное в ring0-1.

Secure Boot как бы в том, чтобы не давать грузить неподписанное в ring0-1.

с какой радости? его задача - контроль, что до выполнения загрузчика не выполняется что-то еще/в загрузчик не добавлен «дополнительный функционал». всё. как только загрузчик запущен - секурбут больше ни при делах, и что/как запускает загрузчик уже не его дело.

в общем типичный анальный зонд, замаскированный под беспокойство о пользователе.

Материнка на z270 от gigabyte, секур ебут отключен из коробки. Рекомендую.

в общем типичный анальный зонд, замаскированный под беспокойство о пользователе.

ну скорее выглядет как предварительная тестовая репитиция перед тем как бы сделать действительно анально-геморойный глубокий зондище :-)

Материнка на z270 от gigabyte, секур ебут отключен из коробки. Рекомендую.

рекомендуешь — вместо ноутбука? :-D

Да. Почему-то очень много любителей использовать раскрывушки как десктоп.

А то, что у человека может быть и десктоп, и ноутбук, тебе в голову не приходит?

«Может» не считается, когда будет тогда возвращайся)) А так у меня у самого так, правда советовать модель некро-говноноута не поможет всё равно никому.

У меня так и есть.

А отчего тогда modprobe на попытку загрузить неподписанный модуль ругается? До тех пор, пока не отключишь секуребут в настройках.

А kexec-tools-утилиты или/и восстановление из suspend-to-disk...

...работает?

Почему-то очень много любителей использовать раскрывушки как десктоп.

И совершенно правильно делает!

Ноутбук убираешь в портфель — и стол превращаетс в обычный письменный стол, на котором теперь появляется возможность разложить и почитать бумажки :-)

# P.S. вообще не очень понимаю тех людей кто вместе покупки {обычный_письменный_стол+ноутбук} покупает {компьютерный_стол+системеый_блок}

Можно собрать очень компактный системник и не ставить его на стол, или повесить сзади к монитору на vga крепления. Рекомендую, зависимость есть.

Только одобренные MS клоны венды с system-d и реестром (Fedora, Ubuntu, ...).
Но ты ведь не купишь такой ноутбук, правда?

не видел еще ни одного ноутбука с неотключаемым secure boot. По-моему такое было только у майкрософтовских планшетов на ARM + Windows RT

Ноутбук убираешь в портфель — и стол превращаетс в обычный письменный стол

Здорово. А что мешает убрать клавиатуру десктопа со стола?

появляется возможность разложить и почитать бумажки

Ага, и чернильницу есть куда поставить.

системник и не ставить его на стол

Системники на столе я последний раз видел во времена 386, когда они стоили как кусок золота того же объёма и с них пылинки сдували.

Можно собрать очень компактный системник и не ставить его на стол, или повесить сзади к монитору на vga крепления

Чем он в таком случае лучше ноута? Железо-то ноутбучное будет.

Чего? На mini-itx материнках например всё десктопное как правило.

Здорово. А что мешает убрать клавиатуру десктопа со стола?

Ну этож каменный век — всё большое:

Системный блок — огромный! (уже нет щитай места положить портфель гдето.. Или ноги:-))

Клавиатура — огромная!

Монитор — огромный! (Даже если дюймов мало — всё равно большая подставка под монитор, в горизонтальной плоскости)

Короче, чернильницу точно поставить некуда :-) ..

Суть в том что реалии современной жизни [людей на планете всё больше, а уровень из жизни в основном всё хуже!] — квартирное свободное место уменьшается, и соответственно становится более ценным это место

Можно собрать очень компактный системник и не ставить его на стол, или повесить сзади к монитору на vga крепления. Рекомендую, зависимость есть.

А можно просто купить ноутбук и радоваться что технологии стали болеее компактными чем ПК двадцатилетней давности :-) ..

повесить сзади к монитору

...мож ещё порекомендуешь поставить системник горизонтально и под монитор? :-D

Системники — всё! Практически вымирли как класс домашних ПК. Только в офисах их используют (но ещё не известно насколько надолго). И игроманы (если не купили Соньку).

Так что Топик-Стартер правильную тему завёл по поводу того что нужно отследить момент и БЫТЬ НАЧЕКУ, чтобы мы не оказались незаметно в анальной Ж с этими ноутбуками (как оно вышло с планшетами и телефонами).

По толщине ноутбуки стали уже не сильно толще чем планшет. Но планшет безнадёжно анально огорожен, а ноутбук ещё покачто сдерживает натиск проприетарии!

А можно просто купить компактный десктоп, вместо портативной тормозной вафельницы. Просто собирать самому предпочтительнее если разбираешься.

Жизнь в конуре для собак, настоящий человек может позволить себе площадь в избытке.

А игрушечный человек? Нахуй ты иди, вот что

Жизнь в конуре для собак, настоящий человек может позволить себе площадь в избытке.

Кстати!, а как можно объяснить феномен что те люди которые могут себе позволить плошадь в избытке — покупают именно ноутбуки (от Apple чаще), а не захламляют это своё свободное место ПэКашными фигнюльками?

Умница! Я тоже за ноут. Причём остальные имеющиеся компы можно отдать другим (пк - персональный компьютер, т.е. одна машина на рыло - уже роскошь!). Ужасно удобно, пользоваться можно как за столом так и в кровати, не убивая позвоночник бесконечным сидением. А с дискреткой еще и в топ игры гамать. Крч мастер хэв

Не знаю, из моих знакомых имеющих ноут/ультрабук/планшет у всех есть и десктоп.

Миллионы мух. Привычка напокупать говна в дом, хотя по сути несколько компов это полюбас излишества

Системник уделает любой ноут в цене/производительности. Поэтому, если нужно работать, а не шашечки, и ты не коммивояжер, то, только системник. И денег сэкономишь, и головняка меньше будет, так как всегда сможешь заменить термопасту и кулер самостоятельно и без геморроя с разбором.

Поэтому никто никуда не вымер, используется, и используется повсеместно. Просто вокруг много прыщавых студиозов, которым мама купила дешёвый асер-ноут, и у которых больше ничего нет. Отсюда и складывающееся впечатление.

Поэтому только системник. И ноут в дорогу не более 12", в качестве печатной машинки для жж-шечки.

Про всякие макоподелия для альтернативно ориентированных даже не упоминай тут. Это не Линукс!

Про всякие макоподелия для альтернативно ориентированных даже не упоминай тут. Это не Линукс!

вообще-то упаминание Маков — как раз в этой теме самое то что нужно! :-)

линукс там загружается без ковыряний с вашими «любимыми» Secure Boot .. (самую свежую модель не смотрел — но сомниваюсь что это там изменилось за 1~2 года. UEFI есть, а Secure Boot нет)

а то что среди Маководов частельнко находятся люди которые не хотят сносить Мак и ставить вместо него кошерный Linux — это отдельный разговор. вендузятников с Асерами — не меньше :-)

самую свежую модель не смотрел — но сомниваюсь что это там изменилось за 1~2 года. UEFI есть, а Secure Boot нет

Недавно писали, что Linux там не работает, драйверов для нужного железа нет.

И вообще за такие деньги покупать мак ради линукса возможно только если больше никаких вариантов нет, а винда никак не рассматривается (например, нужна полная приватность, чтобы не было у ФСБ/АНБ возможности удалённо подключиться и слить информацию).

И да, у актуальных моделей мака нет USB-портов. USB-портов, Карл!

А если смягчить требования по железу и цене, то можно найти ноут с предустановленным Linux, ассортимент будет даже пошире, чем у маков.

чтобы не было у ФСБ/АНБ возможности удалённо подключиться и слить информацию

Не будьте так наивны, ни Linux c Android, ни Mac OS, ни Windows не являются гарантией вашей приватности. Абсолютно под каждую ось есть набор соответствующих инструментов. Очень многое о Вас можно узнать по соц.сетям и переписки в них.

Сомневаюсь в том, что у Вас есть какая-то важная информация для ФСБ, АНБ. И если бы она в Вас действительно была, то Вы бы здесь подобные фразы не озвучивали. Если ФСБ потребуется какая-либо информация от Вас, то Вы ее сами скажите. Способов для достижения этого очень много, причем не физических способов, после которых Вы сами все расскажите...

Так я не про себя. Ну например, человек администрирует (или тупо загружает туда материалы) сайт с запрещённым в стране, но не осуждаемым большой частью общества контентом. Например, хентай или в России обычный прон. Или варез (только не надо говорить, что ты им никогда не пользовался). Он это делает через tor под псевдонимом. Ни в каких социальных сетях свою деятельность не афиширует, даже в личных сообщениях. Тогда пользователя свободной ОС будет поймать гораздо сложнее. В проприетарной ОС же не нужно будет искать уязвимости или заниматься социальной инженерией.

Как спецслужбы узнают, за кем именно следить? Тут может быть много вариантов. Например, в ОС может быть заложен мониторинг ссылок в буфере обмена. Или человек может зайти на сайт через clearnet, но информации, полученной через СОРМ/CALEA будет недостаточно для привлечения к уголовной ответственности. Или человек сам проговорится и наведёт на себя подозрения, но опять же они сами по себе не будут основанием для привлечения к ответственности.

Да, спецслужбы могут провести обыск и слить информацию с компьютера, но:

1) Человек может не хранить у себя эту информацию на компьютере. Например, он только сидит на запрещённом сайте через tor browser bundle.

2) Есть шифрование диска, которое в обозримые сроки взламывается только терморектально.

3) Это можно провести только один раз, после чего человек узнает об этом. Дистанционно же можно следить долгое время, не наводя подозрений.

Сомневаюсь в том, что у Вас есть какая-то важная информация для ФСБ, АНБ. И если бы она в Вас действительно была, то Вы бы здесь подобные фразы не озвучивали.

https://ru.wikipedia.org/wiki/Уголовные_дела_о_государственной_измене_в_Росси...

Много дел было, когда ничем не примечательного человека судили за sms-переписку про танчики с грузынами во время конфликта. Причём пативен приезжал через несколько лет после инкриминируемых деяний (это само по себе является вопросом, поскольку возникают вопросы правомерности приобщения переписки в качестве доказательства с формальной точки зрения) Общались бы они через tox — не посадили бы.

Ну и вообще на каком основании ФСБ читало их переписку? Если всех читают, значит с той же долей вероятности могут любому человеку заглянуть на рабочий стол.

Недавно писали, что Linux там не работает, драйверов для нужного железа нет.

Кто где писал?

Драйверов на броадкомовские wifi может не быть. А кроме этого что ещё?

Недавно писали, что Linux там не работает, драйверов для нужного железа нет.

И наверно на эту сенсорную панельку (F1~F12) драйверов тоже нет?

Этого разве не достаточно?

И это тоже. Подробности ищи сам, мне сейчас это неинтересно. Меня он по характеристикам не устраивает вне зависимости от того, как на нём работает Linux.

И да, у актуальных моделей мака нет USB-портов. USB-портов, Карл!

Небольшое неудобство — мышку через блутуз подключать придётся (слава богу на линуксе уже давно с блютусом не видил мышкопроблем).

Мнение маководов «мышка не нужна, у нас хороший тачпад» — я пока что не очень (не доконца) разделяю :-) ..

Если только в вагоне Метро действительно мышка не нужна

Во-первых, не мышью единой. Я вообще использую ноутбук как powerbank для телефона. Ещё может потребоваться флешку подключить или что-нибудь ещё, вариантов может быть много. Я, например, подключал геймпады и midi-клваиатуру.

Во-вторых, даже с мышью это не небольшое неудобство. bluetooth-мышь нужно заряжать. По закону подлости, все заряжаемые устройства разряжаются в самый неподходящий момент. Те мыши, с которыми я сталкивался, вообще работали от батарейки AA или AAA. То есть, либо покупай одноразовые батарейки, либо таскай специализированные зарядные устройства (причём они обычно заряжают только по две сразу, одну не зарядишь).