Легковесный дистрибутив линукса - любой, у которого активен легковесный графический интерфейс (а не KDE/Unity/Gnome3) и который не запускает кучу виртуалок как Qubes OS. Кстати, даже если установлен тяжеловатый графический интерфейс, почти всегда можно переехать на более легковесный вроде XFCE а то и LXDE. Если боишься случайного использования закрытых бинарников, выбирай дистрибутив линукса среди тех где ни одного такого бинарника нету - https://www.gnu.org/distros/free-distros.html , основных вариантов два: Trisquel (является форком Ubuntu) https://trisquel.info/ - для начинающих пользователей Linux, а Parabola (является форком Arch Linux) https://www.parabola.nu/ - для продвинутых
И у Trisquel (https://trisquel.info/en/download) и у Parabola (https://wiki.parabola.nu/Get_Parabola) пока ещё остались 32-битные версии, поэтому они обе подходят. Осталось лишь выбрать одну из них согласно уровню твоих навыков. Там есть и офис, и браузер, и куча других программ в официальных репозиториях, где не должно быть ни одного закрытого бинарника
Что посмотреть что бы собрать все воедино понял. Спасибо за обширную консультацию.
Относился к процессорам AMD раньше плохо.
хотел открыть отдельную тему - но решил дописать сюда.
intel2000 граф. карточка и нтел пент процессором, ноутбук леново б 570е, 4 Гб оперативной памяти, hdd на блинчиках еще, иногда ливсд как сейчас. Хотел подобрать графическое окружение. Сейчас гном. Узнал что ему требуется аппаратное ускорение. Для многих окружений кучу всего доустанавливать. Хочу что-то установить что бы только граф окружение без всяких вспомогательных инструментов. без опенЖл и подобного.
с требований нормальная работа браузера,
настройка цветового профиля монитора в граф. интерфейсе, работа интел проприетарного драйвера. возможность доустановить шрифт и тему. Настройка разрешения и частоты в граф интерфейсе. Монитор самунг сунл мастер 740 н.
Что с граф окружения лудчше выбрать? Возможно не открытое и проприетарное. Я до свободы не скоро дойду...
Попробуй XFCE - как мне показалось, эта графическая среда самая продвинутая из легковесных. И разумеется она опенсорсная. Вообще я пока не встречал графических окружений под Linux которые были бы проприетарными. XFCE под убунту есть и легко устанавливается - https://itsfoss.com/install-xfce-desktop-xubuntu/ - или можно сразу взять и установить Xubuntu, это такая ubuntu где уже изначально установлен XFCE https://xubuntu.org/release/18-04/
В интернете есть случаи серьезно пострадавших людей?
Ничего не слышал про такие случаи, но это не значит что их нет. Их сложно обнаружить, потому что активность PSP - на очень низком уровне, и средствами ОС не видна. Может быть просто информация тихо утекает в NSA и складируется на сервачке, а может быть и хакеры втихаря пользуются уязвимостями PSP чтобы себе какую-нибудь интересную инфу стянуть (хотя их основной целью является Intel ME, это не значит что их не интересует AMD PSP). В-общем, про «новое AMD» можно забыть, тем более что оно коребутом не поддерживается
Думаю, это довольно таргетированная атака, скорее всего использующая дыры в раздутом UEFI который изначально спроектирован на возможность расширения через модули. Если гуглить что-то вроде «uefi nsa» можно найти много интересного... К счастью, совместно с coreboot (который инициализирует железо) в качестве «полезной нагрузки» как правило используют SeaBIOS - который является простым небольшим «Legacy BIOS»-ом, пусть и современным, и проблемы UEFI его не касаются . https://www.coreboot.org/SeaBIOS , https://github.com/coreboot/seabios
Потому офис и не нужен, ибо текст можно набрать в vim. А если вдруг форматирование надо то TeX ну или Markdown. Нечего в свободную систему тащить наследие проприетарного софта.
решил уточнить:
в ноутбуке вы прошиваете 2 микросхемы?
какие старые тинкапады(или идеапады) полудше? 2 гб и старенький процессор подойдет.
==============================
можете свои микросхемы по названиям написать. - а то я себе что-то не то прошью.
(шьется биос, чипсет?)
где столманское оборудование возможно приобрести?
в общем пролистал все сообщения.
мне серийники не мешают.
1) Прошивка BIOS-чипа на B570e.
2) Второй пункт пропускаю? у меня интелл ми получается должно быть... в принципе в этом чипе может быть вирус...
3) какие контроллеры вообще еще поддаются прошивке?
Что прошивать 2а чипа я понял.
на матплате должны быть еще контроллеры оборудования, какие из них прошиваются? Как-то подключается ШДД и СД-Ром, прочее.
Вообще, большой вопрос — а нафига делать ME в чипе у всех на виду, если можно было изначально запилить только его «супирсикретный» вариант, который никакой повёрнутый на свободе бородач до сих пор найти не сумел (спрятанный ROM, змеиное масло, приборы, про которые мы вам не расскажем)? Ведь тогда никто бы не поднял шум и не было бы скандалов, связанных с Intel ME, а безликие дяденьки в одинаковых костюмах спокойно продолжали бы слушать чужие секреты.
Во-первых, от меня обвинений не звучало; во-вторых, будто бы паранойя это что-то плохое.
Просто нужно же где-то останавливаться и хотя бы пытаться мыслить рационально: если у кого-то есть возможность скрыть что-то настолько надёжно, что обнаружить не выходит даже у тех, кто очень старается это сделать, — зачем ему усложнять схему? Эдак можно дойти до того, что в 1% случаев от того 1% полноценный пятиметровый ROM загружается в оперативу атакуемой машины космическими лучами со спутника. Я не говорю, что это в принципе невозможно — вопрос в другом: неужели такой сценарий действительно входит в рабочую модель угроз?
Ну хорошо, а какие есть основания полагать, что эта угроза действительно существует? В случае с Intel ME — понятно: вот какой-то код, вот на что он способен, вот какие-то сведения о нём из официальной документации, а вот даже PoC эксплойта. В случае же с мифическим 1% уже начинается страх собственных фантазий, который уже совершенно неконструктивен, потому что не предполагает никаких конкретных действий: давайте, мол, бояться чего-то, что мы не можем обнаружить, не знаем принципов его работы и не можем предложить способов защиты. С тем же успехом можно предположить, что Они™ договорились с Перуном или там Тескатлипокой, чтобы те вычисляли и лично карали неугодных.
Ну ладно. А какие что нет? Не найденный код, PoC, сведения? Многие уязвимости всплыли из обнародованных викиликс данных, причём, некоторые проекты перебздели, усилив защиту, даже без PoC, и документации.
В нашем вопросе я склоняюсь к puri.sm, ввиду практичности. Однако паранойе имеет место быть, хоть в её случае, ноуты сертифицированные fsf не защитят.
Прошивают 2 микросхемы - на Intel-овских ПК, где в одной микросхеме прошит BIOS/UEFI (заменяют coreboot'ом при наличии поддержки) а во второй - Intel ME (прошивают его урезанную версию). У меня на AMD-шном ноуте только одна микросхема SPI Flash, я прошиваю её (заменяю коребутом) и + внутреннюю память мультиконтроллера (чистая прошивка с удалёнными серийниками)
какие старые тинкапады(или идеапады) полудше? 2 гб и старенький процессор подойдет.
в плане свободы - те, которые поддерживаются libreboot'ом
можете свои микросхемы по названиям написать. - а то я себе что-то не то прошью. (шьется биос, чипсет?)
Даже на одной версии ноутбука попадаются разные модели биос-чипов, поэтому даже если я сейчас напишу что за биос чип у меня установлен на матплате - это будет бессмысленно. Поэтому, когда ты достанешь материнскую плату из ноутбука, просто читай надписи на чипах и ищи их в интернете, пока не найдёшь чипы которые SPI Flash. Ну или поищи инструкции по прошивке биос чипа в твоём ноутбуке, чтобы увидеть где расположен биос чип. Например, http://dangerousprototypes.com/docs/File:Soic8_clip_connecting_3.png - на матплате G505S прицепились прищепкой SOIC8 к биос-чипу, и можно видеть где он находится
где столманское оборудование возможно приобрести?
что-то на авито, что-то из китая. новых «старых леново» сейчас уже не купить, а в официальных магазинах FSF продаётся всё то же самое но с большой наценкой (для тех кто не умеет собирать либребут и прошивать его, а просто хочет купить готовое)
и чем ты его будешь прошивать, если коребут твой B570e не поддерживает? разве что той же самой заводской прошивкой BIOS/UEFI но с удалёнными серийниками, больше нечем
2) Второй пункт пропускаю?
на твоём ноутбуке может быть установлен совсем другой мультиконтроллер, который даже может не иметь внутренней прошивки, + если у него прошивка есть, может быть невозможно прошить его опенсорсными средствами. поэтому - да, пропускаешь
у меня интелл ми получается должно быть... в принципе в этом чипе может быть вирус...
Да, у тебя скорее всего есть второй SPI flash чип с Intel ME, и ты можешь попробовать урезать его с помощью me_cleaner и прошить урезанную версию. Только сделай резервную копию перед этим и узнай мак-адрес сетевухи чтобы добавить его в урезанную версию, иначе не запустится
на матплате должны быть еще контроллеры оборудования, какие из них прошиваются? Как-то подключается ШДД и СД-Ром, прочее
не знаю насчёт вашей платы, но скорее всего эти контроллеры интегрированы в южный мост, который инициализируется прошивкой BIOS/UEFI. контроллер карточек памяти SD скорее всего стоит отдельно и у него может либо не быть собственной прошивки либо она недоступна для записи. Вообще всё это нужно выяснять для каждой конкретной матплаты, вот схема для Lenovo B570e (в нём стоит матплата wistron lz57 как мне подсказывает гугл - https://zremcom.ru/scheme/scheme-ibm-lenovo/file/1183-scheme-lenovo-ideapad-b... ), фотографии матплаты своего ноута или найти в интернете или разобрать ноут. И отдельно выяснять по каждому чипу, который найдёте; дело осложняется тем что не для всех чипов можно найти даташиты
нафига делать ME в чипе у всех на виду, если можно было изначально запилить только его «супирсикретный» вариант, который никакой повёрнутый на свободе бородач до сих пор найти не сумел
Получается, если даже сделать ME изначально скрытым со скрытым ROM, 1) рано или поздно эту тему все равно вскроют 2) при обнаружении уязвимостей в ME благодаря которому этим бэкдором могут пользоваться не только спецслужбы (которым можно), но и кулхацкеры (которым нельзя) - не будет возможности эти уязвимости устранить, а для Intel такой вариант неприемлим
Поэтому они сделали как сделали: выпустили этот бэкдор публично, позиционировали его как фичу для админов (типа «удобное удалённое управление администрируемыми компами), и лишь очень небольшая группа людей пытается как-то с этим бороться - либо пытаясь урезать прошивку ME (что конечно не даёт никаких гарантий), либо переходя на более старые компьютеры без процессорных бэкдоров (хорошо хоть AMD поздно добавила аналог себе, так что их процы без PSP не такие древние как Intel без ME). А большинство пользователей не парятся и живут „под колпаком“, так что цель достигнута
В этом случае и решение от FSF не гарант, потому что ME может быть в секретном ROM'e проца, так?
Действительно; именно поэтому желательно пойти дальше требований FSF и выбирать те платы где вообще нет ME (для ранних версий которого в FSF научились удалять прошивку и таким образом удовлетворили свои требования). Получается в этом списке - https://libreboot.org/docs/hardware/#list-of-supported-hardware - для нас в «безопасном списке» остаются лишь платы с AMD, потому что там вроде как из интеловских нет ничего на сокете 478 - всё новее
+ может быть можно добавить к нашему «безопасному списку» некоторые платы без ME/PSP поддерживаемые коребутом, но после их тщательного рассмотрения - что именно осталось несвободного, из-за чего не поддерживается libreboot'ом? Так я и сделал с Lenovo G505S - вот рассмотрение его текущего статуса свободы - поиск свободного ноутбука (комментарий)
Перечитай, пожалуйста, моё исходное сообщение. Я прекрасно в курсе, что такое Intel ME, но разговор шёл не об этом, а о фантазиях на тему «1% случаев».
я согласен с тобой, что у этих фантазий крайне мал шанс на их реальность. Но так же как воину не очень приятно спать в одной комнате с трупом поверженного врага, даже зная что колдуны способные вдохнуть в его тело жизнь вряд ли до него доберутся, - так и мне было бы не очень приятно пользоваться таким компом зная что в нём сидит кусочек этой скверны, пусть и «деактивированный» с крайне малым шансом на реактивацию
В случае же с мифическим 1% уже начинается страх собственных фантазий, который уже совершенно неконструктивен, потому что не предполагает никаких конкретных действий
Предложение на самом деле есть: предпочитать те коре/либребутные компы, где этого ME/PSP вообще нету, желательно AMD-шные (просто потому что в AMD добавили PSP позже чем ME в Intel, и последние AMD без PSP мощнее последних интелов без ME). И будет не только полное спокойствие, но и не понадобится возиться со всякими me_cleaner: если посмотреть, с me_cleaner не всё так гладко и не всегда всё получается с первой попытки
А теперь расскажи, почему ты уверен, что в тех компьютерах,
где этого ME/PSP вообще нету,
его действительно нет? Почему ты считаешь, что в них нет «секретного ROM», из которого этот же самый ME загружается напрямую в память и запускается оттуда? Где последовательность в твоей паранойе?