Как вам новые возможности Gnome?

Plymouth не установлен. Проверка в gdm выпиливаема.

Зачем он это делает? Кого вообще волнует этот Secure boot?

Within the GNOME Control Center there is a firmware security area being worked on to show whether UEFI Secure Boot is active, various security protection details like the TPM status, whether Intel BootGuard is present and enabled, IOMMU protection state, and more. Ultimately those involved hope to allow triggering actions in some areas for fixing these issues when found to be in a less than ideal state.

Отличная вещь, когда массово интегрируют - буду только рад. Вот только жалко, что «Titan C»-подобный чип не пытаются устанавливать. :)

В комментах на форониксе уже отписались любители анальных развлечений, которые требуют, чтобы эта херня была неотключаемой.

Неотключаемый гном это будет ужасно, но вряд ли такое где-то реализуют.

В комментах на форониксе уже отписались любители анальных развлечений, которые требуют, чтобы эта херня была неотключаемой.

Ну так, ссылку хотя бы прикрепил к сообщению.

//Я бы оттуда аргументов нахватался, а потом на LOR’е «любителям анальных развлечений» с Linux’ом мозги бы вправлял. :)

А зачем отключать Secure Boot? Это же опасно

Супер, чо. Внезапно, использовать Secure Boot для защиты от загрузочных вирусов.

А иконки с предпросмотром в файловый диалог они когда добавят?

До

После

Погрустнел. Линукс 30 лет, итоги (с)

Любого кто хочет иметь определённую уверенность что система запущенная сегодня это система которая была вчера.

Ну вот у меня диск LUKS’ом пошифрован. Чем secure boot отличается?

Весь что-ли?

А зачем отключать Secure Boot? Это же опасно

Имхо защита в принципе актуальна только на ~50% машин. Мне удобно отдельно иметь машины на которых есть работа с важными данными, а отдельно те на которых разводится помойка - обкатываются те или иные технологии, запускаются непонятные бинарники и т.п.

И на вторых - важных данных ноль, они by design готовы и к краже и к потере данных по несколько раз в год.

Для них важно наименьшее количество препятствий для эксприментов, а не безопасность. И актуально защищаться только от угроз, которые в среднем всплывают чаще 2-3 раз в год, т.к. примерно с такой частотой система и так превращатся в помойку.

И любые дополнительные средства защиты типа secure boot - только усложняют.

Подход пытающийся защитить «все» данные, а не только «существенные» - как мне кажется череват тем что или на защиту неважного будет тратиться непропорционально много времени или важные останутся без защиты

Полбу дали здорово, шрам какой. А так этот чел титан, тащить в одно рыло phoronix. А кто считал сколько он всего статей/новостей написал? Мильён?

Затем что угроза от которой защищает Secure Boot исчезающе мала. И если для GRUB выданы ключи, то Secure Boot уже компрометирован потому что GRUB может загрузить что угодно.

Вот только если секурбут попячен и система на самом деле скомпрометирована, никто не помешает подсунуть и пропатченый гнум, который будет так же писать «всё хорошо прекрасная маркиза»

А иконки с предпросмотром в файловый диалог они когда добавят?

Могу только сказать, что работа в этом направлении ведется (раньше они говорили СЛОЖНА И НИНУЖНА), они его решили полностью переписать и объединить код с Наутилусом.

Но вы, конешно, быстрый, хотите за каких-то 20 лет такие фичи. В этом вопросе торопиться нельзя, подумать нужно основательно, макапчики поделать, обсудить, выслушать все мнения.

Да вроде наоборот симпатичней стал. Раньше какого-то макакена напоминал, я извиняюсь :)

У тебя загрузчик всё равно на незашифрованом EFI-разделе. Его можно подменить и вытащить твой пароль и данные.

Ну это уже другая проблема. Вообще есть ещё пара приёмов включающих в себя TPM:

1. Шифрование прибивается к TPM. Изменение в UEFI/загрузчике приводит к изменению регистров TPM и диск начинает требовать пароль на загрузке.
2. Использовать 2fa, для параноиков. На основе состояния TPM, зависящего от состояния всей цепи загрузки, компьютер показывает тебе одноразовый код, ты на устройстве/приложении сверяешь код с тем что должно быть.

Естественно подразумевается что в момент когда ты SecureBoot включаешь - то система ещё нормальная и что никто не сможет или не будет тебе весь UEFI подменять на похаченый. Для последнего кстати нужны ключи M$.

TPM с Linux дружит так себе. У меня на одном из устройств его поддержка появилась спустя года 4 после его выхода.

TPM никак не защищает от открыл стенку, вытащил диск, заменил что надо, установил диск, закрыл крышку. efi, boot идут без защиты же.

Такое не запустится - тебе ключи нужны чтобы загрузчик подписать. TPM, SecureBoot и LUKS должны работать вместе.

initrd подписанный?

Unified Kernel Image.

Ясно с тобой;)

Почему не стоит ставить Gnome: +1