Поясните за EFI

Тыц

https://ru.wikipedia.org/wiki/Extensible_Firmware_Interface

С разморозкой. Кратко тебе уже накидали, длинно — g! beyond bios от интел.

это тот же биос, только зонд с шипами

значит опять переписали одно и тоже?

Поясните за

за

За? Азазаза! ЗАЗА, за-за-за!
За!

Я ЗА БАН!

А ты чего-то «принципиально нового» хотел? Другой интерфейс, упростили жизнь разработчикам, но суть та же, предоставить загрузчику ОС минимальные сервисы для работы с железом.

Поясните за

Даже пачкаться о такое не хочу.

Поясните за

за

За? Азазаза! ЗАЗА, за-за-за!
За!
Я ЗА БАН!
Stahl ★★☆ (15.12.2016 21:10:54)
Последнее исправление: Stahl 15.12.2016 21:20:53 (всего исправлений: 24)

24? 😲

Ты там упоролся?

Насколько я знаю, уведомления приходят каждый раз при правке. Я лишь хотел обратить внимание ТСа на его у... гхм... нюансы использования языка.

Насколько я знаю, уведомления приходят каждый раз при правке.

Не знал. Но судя по редактированию ОП, ты прав %)

...ну или ТС безнадёжен...

Stahl, coyotl
Фестиваль упоротости объявляю открытым.

А какие призы?

Проигравший в сырном соусе

Поясните за

Нет, либо колхозник.

чего там непонятного. uefi — это старый биос + дос примерно. Плюс апи для его использования.

Очень удобно, не считая проблем что каждый производитель по своему интерпретирует спецификации и везде работает разный набор фич.

Как по мне, так возможность импортировать в биос свой сертификат и самому подписывать ядра, которые можно загрузть на этой машине — бесценно.

ну и я даже не говорю про то, что разных загрузчиков можно иметь хоть тысячу. И можно не боятьа что что-то случайно убьет твой загрузчик, а ты про это узнаешь только после перезагрузки.

возможность импортировать в биос свой сертификат и самому подписывать ядра

К сожалению, эта самая фича бывает доступна не всегда. Сертификация на совместимость с Windows10 (наклеечка такая на корпусе ноута\системника) не требует ни наличия возможности отключения опции secureboot, ни наличия функционала по установке своих доверенных сертификатов с флешки\диска. Хотя, подозреваю что даже при отсутствии такой опции в setup'е, если загрузить загрузчик подписанный ключом от майкрософта (shim, например), то из него можно будет таки загрузить уже что угодно так как там свой механизм проверки подписей - нужно будет через mokmanager идущий в комплекте установить публичную часть ключа для подписи бинарников.

в биосе xps кроме добавления сертификатов ты их еще и удалять можешь :)

а проблемы с кривым/обрезанным уефи я думаю временные. технология новая, все еще допиливается.

а проблемы с кривым/обрезанным уефи я думаю временные.

Боюсь, что эти проблемы не временные, а неизбежные. Потому что главный спонсор всего этого праздника Microsoft. А они очень не хотят чтобы на PC-платформе что-то кроме венды работало. Именно с их легкой руки в систему по-умолчанию устанавливаются только ИХ сертификаты.

А всем желающим предлагается платить им бабло за подпись своих бинарников (и пройти code-ревью, разумеется). Причём сторонние бинарники они подписывают не тем сертификатом которым загрузчик венды подписан, а другим. Вероятно, чтобы в будущих спецификациях UEFI могли появиться какие-нибудь ограничения на функционал для бинарников подписанных другим сертификатом.

И вот ещё немного информации для разоблачения размышления: в программе сертификации для Windows8 - было обязательное требование чтобы secure boot был отключаем. Для Windows10 - уже не обязательно. Совпадение ?

Я бы ещё добавил, что если бы «спонсоры праздника» действительно желали бы повысить безопасность для пользователей, в UEFI штатно была бы функция «подписать загрузчик», по которой подписывался бы пользовательский загрузчик. Вместо этого поползновения запретить пользователю выбирать то, что он хочет. В том числе запретить модифицировать bios или заливать свой.

И можно не боятьа что что-то случайно убьет твой загрузчик, а ты про это узнаешь только после перезагрузки.

Хорошая шутка.

действительно желали бы повысить безопасность для пользователей, в UEFI штатно была бы функция «подписать загрузчик»

А еще лучше джампер на материнке или пипка на корпусе под батареей ноута.

С разморозкой - ефи массово пошел еще с 2006 года.

Для подписывания нужен приватный ключ. Если ты этот приватный ключ будешь кругом разбрасывать, никакой безопасности не останется.

Что это вообще?

Костыли с FAT32.

одно понятие - bios

для тех кто мыслит понятиной, ссылка пониже

Что это вообще? Что-то опять переписали?

https://www.happyassassin.net/2014/01/25/uefi-boot-how-does-that-actually-wor...

Потому что главный спонсор всего этого праздника Microsof

The original motivation for EFI came during early development of the first Intel–HP Itanium systems in the mid-1990s

The Unified Extensible Firmware Interface Forum or UEFI Forum is an alliance between several leading technology companies to modernize the booting process. The board of directors includes representatives from twelve «Promoter» companies: AMD, American Megatrends, Apple, Dell, Hewlett Packard Enterprise, HP Inc., IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies.

А они очень не хотят чтобы на PC-платформе что-то кроме венды работало

На XScale-based EFI доступно с 2005го, на IBM System x с 2009го. Это такие пека?

Уж лучше, чем костыли с MBR

Согласись, но это уже проблема пользователя.

Люди и сертификаты для ЭЦП получают, по такой логике они ими тоже могут разбрасываться.

Нука-нука, где тут костыли? Никаких лишних разделов, только один с кошерной ext4. :)

# fdisk -l /dev/sda
Disk /dev/sda: 232.9 GiB, 250059350016 bytes, 488397168 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x84643ecb

Device     Boot Start       End   Sectors   Size Id Type
/dev/sda1        2048 488397167 488395120 232.9G 83 Linux

# file -s /dev/sda1
/dev/sda1: Linux rev 1.0 ext4 filesystem data, UUID=8f5c2002-09e7-49c2-b3d3-0a83437d3354, volume name "root" (needs journal recovery) (extents) (large files) (huge files)

На XScale-based EFI доступно с 2005го, на IBM System x с 2009го. Это такие пека?

Microsoft тут при том, что технологию разрабатывали эти фирмы, а для пк сюда влезла MS и стала выдвигать какие-то свои требования.

Проблема в том, что пользователю придется передать приватный ключ софту, к которому нет доверия, чтобы этот софт смог сгенерировать подпись. Вот когда люди сертификат получают, им не нужно никому приватный ключ передавать.

Костыли, что загружается это только через дремучий загрузчик, который тянет кучу легаси (эх бы в 2016 юзать int 13h), и с соответствующими ограничениями на устройство загрузки. 3ТБ винт использовать не получится.

Ну и чисто практически, есть раздел FAT - можно тупо скопировать файлы с загрузчиком, и всё будет работать. Особенно актуально для загрузочной флешки.
Или вручную с dd, искать какой-то адрес, куда пишется MBR загрузчик. Какой нафиг CHS в 2016 году?

Единственное, что сделало МС — это предложило royalty free fat32 для UEFI. Всех это более-менее устроило, т.к. реализация FAT32 и так у всех была, а иначе бы пришлось всей толпой в дохельярд вендоров договариваться о некой принципиально новой фс, а потом ещё сотней дохельярдов юристов проверять, а не затесалась ли туда тайком чья-нибудь ИС. И вообще, как в обычный биос лепят кривые acpi-таблицы, так типа биос тут не при чём, это злой вендор, а как из uefi выпихивают возможность отключить secury boot, так это типа злой вендор и не при чём, это uefi виновата. «Логика, бессердечная ты сука» ©

BIOS - это платформозависимая часть MS-DOS и по совместительству набор утилит для теста железа при загрузке и начальный загрузчик. UEFI - спецификация операционной системы от Intel и Microsoft для вшивания вместо BIOS, которая сделана чтобы обеспечить контроль корпорациями над компьютером пользователя в обход рабочей операционной системы.

который тянет кучу легаси (эх бы в 2016 юзать int 13h),

особенно всякие хитрые диски, типа NVMe очень способствуют

я не думаю что микромягких реально волнует 1% линукс десктопов :)

Я не знаю насколько сложно заставить микрософт подписать свой лодер, меня этот вопрос ни разу не волнует.

Я вижу, что я могу подписать лодеры своих клиентов и меня это радует :)

мало того, uefi работает же так же и на серверах новых. Думаешь oracle/redhat/итд будут спокойно на это смотреть?

я не думаю ... Я не знаю
Я вижу, что я могу подписать лодеры своих клиентов и меня это радует :)

Эталонный случай «счастья в неведении», ИМХО

я не думаю что микромягких реально волнует 1% линукс десктопов :)

Их волнует, чтобы этот 1% внезапно не стал 5% когда они в очередной раз облажаются с очередным Windows. Кто-то из неопытных пользователей может и хотел-бы попробовать линукс, но когда проблемы начинаются ещё на ЭТАПЕ ЗАГРУЗКИ - это сразу отпугнёт большинство неопытных юзеров. Так что 1% - это в том числе следствие подобной политики.

Я думаю, глупо отрицать очевидное - с повсеместным внедрением UEFI и GPT - организация процесса загрузки стала в среднем сложнее, чем это было с со старым BIOS и MBR. Это само по себе идёт на руку MS, чья продукция продаётся предустановленной на устройстве (заметьте - венда ведь не в комплекте идёт отдельным диском с чистым ноутом) - увеличение сложности процесса установки другой ОС уже отпугнёт часть пользователей даже от попыток попробовать поменять ОС. А с появлением Secure Boot - дела стали только хуже.

Думаешь oracle/redhat/итд будут спокойно на это смотреть

Тут я соглашусь. Но серверы - это серверы. На серверах там как-бы доля использования Linux не 1%, да и венды не 95%.

Меня, лично, совсем не воодушевляет перспектива покупать до конца жизни серверное железо чтобы работать с линуксом.

То что UEFI работает много где - это замечательно, кто-бы спорил. Проблема в том, что на самой оптимальной целевой платформе для линукса, реализация UEFI фактически зависит от желания левой пятки одного конкретного монополиста. Пока тут опять не набежали копипастеры википедии - я говорю о десктопном PC с архитектурой x86\x86_64 и аналогичных ноутбуках. В общем, это та область где безгранично доминирует венда.

можно вспомнить какой вой подняли линуксойды когда на каком-то lenovo windows edition не завелся линукс. Апдейт фирмваря вышел через неделю. :) так что я думаю все будет хорошо. Насчет сложнее ли стал процесс загрузки для новичков вопрос спорный. Для новичка «загрузиться с юсб» — уже сложно :) Когда я ставил дебиан на dell xps помню было как-то нетривиально, да.