обезопасить себя от uefi

сертификация майкрософта требует возможности отключения секьюр бут, так что можешь пока не беспокоиться

сертификация майкрософта ПОКА требует возможности отключения секьюр бут, так что можешь пока не беспокоиться

//починил.

Сертификация майкрософта пока требует возможности отключения Secure Boot, так что можешь пока не беспокоиться

Всё правильно же.

Да, но сертификация майкрософта требует отсутствие эмуляции BIOS по умолчанию и не требует возможности её включения, поэтому и встает вопрос про плохую совместимость дистрибутивов с UEFI.

У меня UEFI без SecureBoot, всё отлично пашет. UEFI лучше, чем BIOS. Оно быстрее и умеет грузить ядро напрямую, без костылей в виде граба и прочих загрузчиков.

а скоро ли будем беспокоиться? или галактический антимонопольный комитет всех накажет?

а как установил ос без граба?

сертификация майкрософта требует возможности отключения секьюр бут, так что можешь пока не беспокоиться

ага, будь идиотом и ниочем не беспокойся: http://prismdragon.wordpress.com/2012/08/16/uefi-and-secure-boot/

а как установил ос без граба?

Распаковал stage3 на раздел в GPT, написал нужные конфиги, дальше вместо установки граба добавил в меню EFI пункт с Линуксом командой efibootmgr. Для удобства даже написал скрипт update-efibootmgr:

#!/bin/sh
VERSION="$1"
: ${VERSION:=`uname -r`}
DISTRIBUTION="Gentoo"
mountpoint /boot/efi || exit 1
mkdir -p /boot/efi/EFI/"$DISTRIBUTION"
cp "/boot/vmlinuz-$VERSION" /boot/efi/EFI/"$DISTRIBUTION"/vmlinuz.efi
INITRD=
if [ -r "/boot/inird.img-$VERSION" ]; then
        cp "/boot/initrd.img-$VERSION" /boot/efi/EFI/"$DISTRIBUTION"/initrd.img
        INITRD="initrd=\\EFI\\$DISTRIBUTION\\initrd.img"
fi
efibootmgr -Bb `efibootmgr | grep " $DISTRIBUTION$" | sed 's/^Boot\([0-9][0-9][0-9][0-9]\).*$/\1/'`
echo -n "$INITRD" | cat - /boot/cmdline.txt | iconv -t ucs2 | efibootmgr -c -@ - -l "\\EFI\\$DISTRIBUTION\\vmlinuz.efi" -L "$DISTRIBUTION"

Командную строку для ядра надо положить в /boot/cmdline.txt. Скрипт использовать на свой страх и риск, потому что он сначала удаляет старый пункт, а потом добавляет новый, т.е. если уже был пункт Gentoo ($DISTRIBUTION), он перезапишется.

бида-бида. и насколько древний дистрибутив ты собрался водружать?

Вообще проблем быть не должно, но мало ли что накосячили создатели ноутов...

во-первых, я говорю, что пока. то есть, при нынешних требованиях майкрософта, можно покупать любую материнку

во-вторых, по ссылке не стал читать, опасаюсь за глаза. о чём там?

Кстати, для тех, кто таки хочет граб, есть и граб под UEFI.

т.к. ядро не efi приложение, ему всеравно нужен небольшой да загрузчик, который efibootmgr и вставляет. Так что без загрузчика никак, а обзовете его grub или efibootmgr - разница не сильно большая

во первых Legacy Boot смотрит на секьюр бут как на говно,

а во вторых есть «обходной моневр», про который я в_каждой_теме, посвященной SecureBoot упоминаю

Gentoo тоже?

т.к. ядро не efi приложение

Ошибаетесь, ядро — EFI-приложение, если его собирать с CONFIG_EFI_STUB=y.

загрузчик, который efibootmgr и вставляет

efibootmgr ничего не вставляет, он только настраивает порядок загрузки и пункты меню EFI. Это не загрузчик.

Gentoo тоже?

Не понял, что тоже? Гента пашет на том ноуте, убунта тоже.

Понятно. Спасибо

очевидно, что товарищ купил комп без наклейки о сертификации с win8

Все оптимисты, узрите, какие там творятся ужасы в этом ихнем UEFI: http://prismdragon.wordpress.com/2012/08/16/uefi-and-secure-boot/

Чиорт. Опередил.

ну, насчет дебиана, он из-коробки пока не умеет UEFI и может работать только в легаси-режиме (который эмулирует поведение BIOS в UEFI), на ЛОРе кто-то говорил как он научил Debian работать с UEFI, но говорил что пришлось попотеть. Лично у меня с UEFI из коробки работали только убунту и арч и кажись центос, остальные популярные дистры не смогли загрузиться в UEFI-режиме.

Хех, у меня почти такой же самописный скрипт.

т.к. ядро не efi приложение

$ dd if=/boot/vmlinuz-3.5.0-tuxonice-sw+ bs=1 count=512 2>/dev/null | file -
/dev/stdin: PE32+ executable (EFI application) x86-64 (stripped to external PDB), for MS Windows

Вообще проблем быть не должно, но мало ли что накосячили создатели ноутов...

Недавно коллега ставил сносил венду с новенького дзена. Сабайон пошел лесом - только бубута или минт загружалась. Такчта...

Убунта с кастомным ядром или родное тоже работает?

Один вопрос: Требует или только допускает возможным?

именно требует

Там что-то в debian-installer пилят, но неизвестно когда оно будет готово.
У меня удалось поставить Debian в нативном режиме, но для этого пришлось самому grub собирать и делать загрузочную флешку с загрузкой через UEFI.

Главная проблема для меня лично - это блоб от nvidia, который падает в нативном режиме UEFI, в режиме эмуляции BIOS работает.

Из коробки ставился aptosid и новая убунта (12.04), они умеют сами прописывать загрузчик в UEFI, иначе это надо делать руками. Вообще проблем поставить особых нет, там вся возня с загрузчиком и его прописыванием.

По данной тобой ссылке 404. Это и есть ужасы уефы?

Вчера всё было. Купил человек в каком-то американском быдлорадо компьютер и пытался вкорячить на него, кажется, федорку. Сегодня нет, но в кэше должно было остаться, интернет не забывает. Несмотря на то, что Корпорация Добра спрятала от нас, ничтожных, кнопку view cached, я всё равно нашёл копию и вот она: http://webcache.googleusercontent.com/search?q=cache:prismdragon.wordpress.co...

Убунта с кастомным ядром или родное тоже работает?

В 12.04 старое ядро, оно не умеет грузиться напрямую через EFI, поэтому там через граб. Ядро самосборное с дефолтным конфигом, но с моим патчем, чтобы ненужные кнопки работали. Дефолтное тоже работает, но без дополнительных кнопок.

3.2.0 из поставки работает, грузится при помощи grub-efi(устанавливается автоматически).

ну тогда все дистры с 3.2.0 должны изкоробки поддерживать.
или нет?

уточни перед покупкой отключается ли там секьюр бут и смело бери.

не все сделали на установочных дисках загрузку с уефи, на самом деле это вроде сделали только опенсусе и федора.(про дебьян не знаю, но в убунте точно нет) тем не менее всёравно можно установить не зависимо от ядра(в случае grub-efi) а с ядром 3.2 можно вообще без граба сразу грузить ядро средствами efibootmgr.

там сплошное ссзб двд 17 федоры можно грузить через ефибутмгр, и то что он там попытался навыключать говорит о том что он навыключал лишнего.

ну тогда все дистры с 3.2.0 должны изкоробки поддерживать.

Поддерживать _что_? Загрузка с EFI была ещё в 2.6, EFI_STUB появился только в 3.3.

а с ядром 3.2 можно вообще без граба сразу грузить ядро средствами efibootmgr

Он только изменяет переменные EFI. Загрузка ядра - это STUB, его включили в 3.3.

а зачем ты тогда выделил 3.2? я честно не помню когда стаб добавили, поэтому думал что ты выделяешь 3.2 как первый стабильный со стабом.

Главная проблема для меня лично -
это блоб от nvidia, который падает в
нативном режиме UEFI, в режиме
эмуляции BIOS работает.

УМВР

Потому что это стоковое ядро в 12.04. В 12.10 уже официально будет поддержка UEFI с GPT из коробки посредством efilinux.

closed

Расскажи людям, как сделать так, чтобы блоб не падал.
http://www.nvnews.net/vbulletin/showthread.php?t=179755

на самом деле это вроде сделали только опенсусе и федора

но в убунте точно нет

ЩИТО? опенсусе не умеет UEFI (сам смотрел и проверял), федора использует модифицированный первый груб, который вроде как умеет UEFI, но у меня федорка дальше груба не взлетела. Убунта использует grub2-efi для поддержки UEFI, при этом он сам себя прописывает и ставится без проблем.

asus m5a97 pro - uefi присутствует, гента работает.

Что рассказать? Что он у меня не падает и УМВР?

если не сложно, выложите dmesg | grep EFI .

ээ речь про установщик и загрузку установочного диска не в режиме легаси биос а через efi (когда грузится не обычный сислинукс, а загрузчик в формате efi ) и вот убунта в таком режиме грузится не хотела ( а федора без проблем( насчёт сусе не уверен))

хмм хотя может к релизу 12.04 таки зафиксили, я комуто вроде даже писал что надобно как на федоре вкрутить...