LINUX.ORG.RU

Поддержка ThinkPad X201 удалена из Libreboot

 ,


0

1

Сборки также были удалены из rsync, а логика сборки удалена из lbmk. Было обнаружено, что на этой материнской плате происходит сбой управления вентилятором при использовании обрезанного образа Intel ME. Похоже, эта проблема затрагивает только эти старые машины Arrandale; Проблема была обнаружена на X201, но, вероятно, затрагивает Thinkpad T410 и другие ноутбуки.

Эта проблема не затрагивает новые платформы, а только машины Arrandale/Ibex Peak, такие как ThinkPad X201. В X201 используется Intel ME версии 6. ME версии 7 и выше не выявила никаких проблем при обрезании.

Не рекомендуется использовать Libreboot на этой платформе. Использование coreboot по-прежнему возможно, но для него надо использовать полный образ Intel ME. Поэтому поддержки больше не будет в Libreboot. Политика проекта Libreboot заключается в предоставлении только конфигурации без ME или нейтральной конфигурации ME с использованием me_cleaner .

Рекомендуется просто использовать другую машину. Машины Arrandale теперь считаются сломанными (в контексте основной загрузки) проектом Libreboot, и они не будут поддерживаться Libreboot — если не будет проведено дальнейшее тестирование и эта проблема не будет исправлена. Удаление было сделано срочно из соображений безопасности пользователей.

>>> Источник

★★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 3)
Ответ на: комментарий от PPP328

Прививку делают заранее, когда ребенок здоров. Аналогию вы не вкурили, дальше дискуссию считаю бессмысленной.

Нет, я аналогию не уловил. Ты говоришь что коклюш не виден невооруженным глазом, поэтому прививку от него делать не надо.

Я и удивился - как это не видно, если там кашель сейсмический стоит? Конечно от такого нужно делать прививку. До, после, во время, при свете или в темноте - это уже технические нюансы. Но считать что коклюш не видно невооруженным глазом - конечно сильно =)

windows10 ★★★★★
()
Ответ на: комментарий от windows10

маниакальное предпочтение СПО в ущерб функциональности и здравому прагматизму

Не не не, условия были таковы что разницы нет и там и там всё работает и работает одинаково (хорошо или плохо работает не важно, главное одинаково)

Для конечного пользователя, обычного работяги, при условии что железо имеет поддержку производителя или не имеет оной, но не имеет проблем в работе нет смысла шить.

Для всяких тюнингов, выигрывания энергопотребления на 1% с парком 10000 машин в здании предприятия или типа того уже смысл есть.

Тут вопрос чисто ситуации.

Не вафлями, а печеньем в клеточку.

Тоже норм, да :)

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от windows10

проприетарный UEFI имеет внешние интерфейсы - по сети через PXE + со стороны ОС - к тому же он хуже чем проприетарный БИОС ввиду расширяемости UEFI по своей природе (особенность стандарта); в результате UEFI-малвари больше распространены чем БИОС-малвари, потому что их не приходится делать столь же таргетированными

Т.е. в плане безопасности, проприетарный UEFI < проприетарный БИОС < coreboot+SeaBIOS

Про опенсорсный БИОС коребут нет таких волнений, т.к. его стандартное дополнение SeaBIOS несовместимо с UEFI-малварью и вообще по своему небольшому объёму кода скорее похоже на заглушку с крайне малым «attack surface», при этом по умолчанию он собирается без сетевой поддержки вообще (т.е. и через PXE пердолить не получится)

SakuraKun ★★★★★
()
Ответ на: комментарий от windows10

если даже 10% прироста будет - уже можно шить

в-общем если присмотришь себе какую-нибудь плату поддерживающуюся опенсорсными БИОСами (coreboot / SeaBIOS) из интереса - или просто по счастливой случайности у тебя окажется плата поддерживаемая ими - скажи мне её модель и я постараюсь выяснить, какие именно «юзабельные» преимущества/недостатки на ней можно почувствовать

Кстати, на G505S с опенсорсным БИОСом coreboot не работают встроенная вебка + микрофон, но с точки зрения безопасности то что они «сломаны» - это даже фича (к тому же они и так дерьмового качества, куда лучше использовать внешние девайсы), поэтому никто и не собирался их чинить все эти годы - хотя сделать это не так уж и сложно и даже известно какие конкретно файлы нужно менять)

SakuraKun ★★★★★
()
Ответ на: комментарий от sparkie

Так этот проект ведь продвигается понемногу, я их уже пару лет наблюдаю - успешно собирают донаты и прошли уже несколько этапов разработки этого чудо-ноута на архитектуре POWER

SakuraKun ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Либработа пригодится как минимум тогда когда производитель положит болт на свой продукт, что периодически и происходит

В-общем то это всегда происходит, вопрос только во времени ;-) с проприетарными БИОСами ведь как: пару лет обновлений - уже счастье великое) а на опенсорсных и 10 лет не редкость

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

Как-то раз я даже со снятым радиатором включал ноут, и кроме того что проц за пару секунд раскалился и выключился - ничего плохого не произошло

От пары раз - конечно ничего. Но вот ssd не любят резкого выключения питания, а цпу потихоньку деградируют от перегрева, а старые процессоры не могут так тонко и глубоко сажать частоту ка сейчас, да и вообще никто не любит резких перегревов.

По-хорошему этим платам с Intel ME вообще не место в libreboot'е

А так нельзя. Можно только обмануть чип скормив ему порезанный микрокод так, что МЕ не сможет управляться извне. Вообще не инициировать подсистему неьзя - цпу не включится.

kirill_rrr ★★★★★
()
Ответ на: комментарий от Stanson

А intel_ME кто-нибудь реверсит сейчас? Ну чтобы заопенсурсить всё нужное оттуда, а то и восе какой-нибудь open_ME сделать.

Там может быть аппаратная проверка цифровой подписи так что альтернативные прошивки для микроконтроллера Intel ME запускаться вообще не будут.

X512 ★★★★★
()
Ответ на: комментарий от Dimez

Наверняка там эти 105 градусов были выбраны с большим запасом, чтобы даже «с разгона» не удалось достичь той температуры где проц реально плавится. у моего A10-5750M тоже предел 105 градусов, и не расплавился)

SakuraKun ★★★★★
()
Ответ на: комментарий от kirill_rrr

А так нельзя. Можно только обмануть чип скормив ему порезанный микрокод так, что МЕ не сможет управляться извне. Вообще не инициировать подсистему неьзя - цпу не включится.

на старых Core 2 Duo - с древней версией ME - можно было полностью удалить прошивку ME. Но, видимо, C2D-синкпады стали заканчиваться а поддержку коребутного G505S чтобы работал не на 98% а на 100% опенсорсном БИОСе - запиливать было лень (там остались пара-тройка исследованных блобов, которые реверсили и пытались заменить - но бэкдоров не обнаружили и интерес пропал) - вот и решили ослабить критерии и притащить более свежие интеловские ноуты, хотя раньше они под требования либребута не проходили

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

coreboot+SeaBIOS

Вы там готовьтесь выкидывать на свалку ваш копролит SeaBIOS потому что Intel больше не собирается поддерживать устаревшие режимы работы процессора вроде Real Mode и Protected Mode. Оставят только Long mode с 32 битным подрежимом работающим только в режиме пользователя, что никак не совместимо с BIOS/DOS.

https://www.intel.com/content/www/us/en/developer/articles/technical/envisioning-future-simplified-architecture.html

Так что из вариантов у вас останутся разве что U-Boot и EDK-2. Причём они и так умеют делать начальную инициализацию железа и CoreBoot там не нужен.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от X512

О нет. Побежал обмазываться, пока не выкинули.

vbcnthfkmnth123 ★★★★★
() автор топика
Ответ на: комментарий от X512

Intel больше не собирается поддерживать устаревшие режимы работы процессора вроде Real Mode и Protected Mode

Даже если и прекратят (в чём есть сомнения) - Intel не единственный производитель процессоров x86, да и ранее выпущенное железо никуда не исчезнет. К тому же, ничто не мешает доработать SeaBIOS чтобы он был способен работать без аппаратной поддержки этих фич, необязательно превращать его в жирнющий UEFI

U-Boot и EDK-2. Причём они и так умеют делать начальную инициализацию железа и CoreBoot там не нужен.

EDK-2 работает поверх coreboot'а и не умеет в низкоуровневые платформоспецифичные вещи вроде тренинга контроллера памяти. U-Boot же как-то не прижился на x86

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

в ожидании пока сделают ноут вроде PowerPC-Notebook на не-x86 архитектуре без этой фигни

Я бы ожидал скорее ноутбуков на RISC-V. Это более перспективная и открытая архитектука. POWER64 процессоры уж больно дорогие и как я понимаю их производит только один вендор. Для RISC-V уже доступны относительно дешёвые ноутбуки и планшеты, правда пока с недостаточной производительностью, через пару лет ситуация может улучшиться.

X512 ★★★★★
()
Ответ на: комментарий от SakuraKun

Intel не единственный производитель процессоров x86

AMD скорее всего последует по примеру. Зачем им тащить никому не нужное легаси? Для какого-нибудь индустриального железа с DOS современные процессоры не требуются и можно использовать специализированные медленные x86 процессоры.

К тому же, ничто не мешает доработать SeaBIOS чтобы он был способен работать без аппаратной поддержки этих фич

Это невозможно в принципе потому что у BIOS ABI и интерфейсы 16 битные, а 16 бит не будет в новых процессорах. Работать это сможет разве что в виртуальной машине. Ну или ломать ABI и соответсвенно ломать совместимость со всеми MBR загрузчиками.

EDK-2 работает поверх coreboot’а и не умеет в низкоуровневые платформоспецифичные вещи вроде тренинга контроллера памяти.

На уровне архитектуры всё он умеет, надо только реализовать соответствующие драйверы и платформенный код. Можно тот же код CoreBoot взять за основу и портировать в EDK-2. Насколько я понимаю проприетарные прошивки от вендоров железа основаны именно на EDK-2.

U-Boot же как-то не прижился на x86

Зато он легковеснее и при этом полностью чист от легаси 16 битных итерфейсов.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от vbcnthfkmnth123

А на каком основании? Юзверь интелевского процессора ведь не принимал никаких соглашений от интеля насчёт intelME ни в каком виде. Да и интель чуть ли не отрицал поначалу существование чего-либо подобного. Так что у юзверя нет вообще никаких обязательств перед Интелем на предмет спрятанного софта на который даже публичной лицензии наверно не существует.

Т.е. как минимум, реверс-инжениринг более чем законен в этом случае, даже в наиболее тоталитарных странах типа США. Насчёт распространения реверснутого может и есть какие-то патентные ограничения, но от этого есть же всякие clean room и т.п.

Stanson ★★★★★
()
Ответ на: комментарий от X512

Пока что всё это звучит как «покайтесь, ибо грядёт» ;-)

AMD скорее всего последует по примеру

С чего это вдруг? в AMD всё-таки не такие засранцы как в Intel'е сидят: вон, Intel'овцы даже сделали чтобы их сайт в России напрямую не открывался; а у AMD всё работает. И тут AMD скорее пожертвуют незначительным % транзисторного бюджета, чтобы иметь возможность говорить: «смотрите, у нас legacy работает, а у интела нет» - и нагнут их этим как минимум в американских госзаказах

Для какого-нибудь индустриального железа с DOS современные процессоры не требуются и можно использовать специализированные медленные x86 процессоры

У любого железа, даже индустриального, есть свой срок службы и его нужно чем-то заменять, поэтому в любом случае кто-то будет выпускать свежие x86 процессоры под эти задачи с поддержкой legacy

Это невозможно в принципе потому что у BIOS ABI и интерфейсы 16 битные, а 16 бит не будет в новых процессорах

SeaBIOS скорее 32-битный чем 16-битный, можно будет довыбросить 16-битную часть если ещё осталась

Работать это сможет разве что в виртуальной машине

Ну или сэмулировать её: в coreboot'е ведь есть какой-то x86emu. Судя по отчётам board_status 89% коребутчиков используют SeaBIOS, и даже если «жареный петух клюнет» спустя X лет - они скорее организуют схему coreboot --> x86emu --> SeaBIOS чем согласятся перейти к UEFI-жирноте

Можно тот же код CoreBoot взять за основу и портировать в EDK-2

а смысл? это точно также окажется coreboot + EDK2, просто под одним флагом, никто не будет тратить на это ресурсы. К тому же, основная задача coreboot'а - это низкоуровневая инициализация железа с последующей передачей управления payload'у

проприетарные прошивки от вендоров железа основаны именно на EDK-2

даже если и так, можно лишь посочувствовать индусам которым приходится этим заниматься за миску риса)

U-Boot же как-то не прижился на x86
Зато он легковеснее

На каком-нибудь MIPS - да, легковеснее; а под мою типичную AMD-шную плату он был бы не легче coreboot+SeaBIOS'а - т.к. всю опенсорсную AGESA-библиотеку, заправляющую кучей низкоуровневых вещей, пришлось бы поместить в него. А если говорить конкретно про SeaBIOS - в нём и так очень мало строчек кода, куда легковесней-то?

полностью чист от легаси 16 битных итерфейсов

как будто поддержка легаси это что-то плохое. при всей любви к «новому модному молодёжному», транзисторного бюджета тратится на это с гулькин нос - а вот обратная совместимость куда важнее

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от X512

просто POWER есть уже здесь и сейчас, не содержит в себе аналогов ME / PSP и гарантированно дружит с опенсорсом (в том числе на уровне прошивок) на достигнутой стадии развития, что можно видеть на примере рабочей станции Talos II . В случае же RISC-V по мере развития этой архитектуры может получиться так же как с ARM'ом где всё обмазано в бинарных блобах

SakuraKun ★★★★★
()

Машины Arrandale теперь считаются сломанными (в контексте основной загрузки) проектом Libreboot

Они сломали Arrandale! Сволочи!

slackwarrior ★★★★★
()
Ответ на: комментарий от SakuraKun

обмазано в бинарных блобах

Если я правильно понимаю, то блобы там только для периферии? Сам CPU вроде бы их не требует, или я ошибаюсь? Есть же всякие рокчипы, которые работают большей частью или целиком на открытом коде.

Werenter ★★☆
()
Ответ на: комментарий от Werenter

Голых процессоров сейчас уже практически не делают, сейчас это SoC который в одной физической микросхеме содержит помимо процессорных ядер также разные периферийные модули такие как DRAM контроллер, PCIe интерфейс и т.д.. Эти периферийные модули зачастую беруться готовые и проприетарные и для их иницализации могут требоваться блобы.

X512 ★★★★★
()
Ответ на: комментарий от SakuraKun

По-хорошему этим платам с Intel ME вообще не место в libreboot'е

Без этого останутся только платы под древние APU и Core 2.

Meyer ★★★★★
()
Ответ на: комментарий от SakuraKun

что можно видеть на примере рабочей станции Talos II

Starting at $9,898.24

За эту цену можно на зионе или триппере с 4090 собрать.

Meyer ★★★★★
()
Ответ на: комментарий от Meyer

так те зион с триппером забэкдоренные будут - всякие ME / PSP и прочие страшные вещи ;-) а если у человека есть ценные данные, которые приносят ему деньги - возникает вполне разумное стремление эти данные максимально обезопасить, и можно и на Talos II раскошелиться...

кстати, ничто не мешает засунуть 4090 в Talos II (если только невидия не подставит с проприетарными дровами под POWER), PCI-e ведь и там присутствует - но с точки зрения опенсорса лучше уж видюху от AMD, например RX590 как последнюю без PSP

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 3)
Ответ на: комментарий от Meyer

а как же KGPE-D16 с двумя 16-ядерными оптеронами?) + Изначальный смысл проекта libreboot - показать, какое коребутное железо способно работать на 100% опенсорсе, и если принимать всё подряд то этот смысл пропадёт. Также как есть LibreCMC - безблобовый форк OpenWRT который поддерживает только 10 роутеров (WNDR3800 самый крутой из них) - и было бы большой глупостью надобавлять туда блобовых опенвртшных роутеров

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

а как же KGPE-D16

Ох. Судя по документации у KGPE-D16 проблемы с инициализацией памяти в Libreboot. Есть сборка Coreboot где с этих получше, есть Dasharo, где с этим хорошо. Именно в libreboot есть проблема с этим

vbcnthfkmnth123 ★★★★★
() автор топика
Последнее исправление: vbcnthfkmnth123 (всего исправлений: 1)
Ответ на: комментарий от SakuraKun

Разработчикам Libreboot кто то из присутствующих в теме писали про кастомное охлаждение ? Думаю они положительно отреагируют на заявление и вернут поддержку но ограниченую (какое нить faq на кастомное охлаждение 3пин оставят к примеру). @vbcnthfkmnth123

linuxuser112
()
Последнее исправление: linuxuser112 (всего исправлений: 1)
Ответ на: комментарий от linuxuser112

Разработчикам Libreboot

Нет никаких разработчиков Libreboot. Все единолично решает Leah Rowe. Напиши на реддите, например в https://www.reddit.com/r/libreboot

Возможно Leah Rowe увидит и отреагирует. А мне уже спать пора перед работой.

vbcnthfkmnth123 ★★★★★
() автор топика
Последнее исправление: vbcnthfkmnth123 (всего исправлений: 1)

Сборки также были удалены из rsync

Не понял фразу. rsync - это же прога для синхронизации файлов? Если да, то что за сборки были из нее удалены?

captain_cat
()
Ответ на: комментарий от Stanson

всех кто подбирался к отключению ME, либо покупались Интелом, в виде работы на Интел, либо получали крупный чек и подпись NDA.

linuxoidspb
()
Ответ на: комментарий от hateWin

Ну как бы проприетарный БИОС не подвержен UEFI-малвари и UEFI-дырам; конечно у него могут быть какие-то свои дыры - по ощущениям он менее уязвим, хотя бы потому что таргетировать его пришлось бы сильнее

SakuraKun ★★★★★
()
Ответ на: комментарий от vbcnthfkmnth123

в принципе коребут/Dasharo для KGPE-D16 должны быть тоже безблобовыми, так что можно пользоваться ими вместо устаревшего либребута - но либребуту всё же скажем спасибо за то что подчёркивает безблобовость KGPE-D16, да и автор либребута отдал почти $100000 на порт этих плат в своё время

SakuraKun ★★★★★
()
Ответ на: комментарий от sanyo1234

Копнул глубже и нашёл wiki-страничку от создателей Talos II с таблицей сравнения платформ. В-общем, там есть некий сопроцессор SBE который очень отдалённо напоминает ME/PSP, но у него нет всяких непотребств вроде удалённого управления через сеть + прошивка этого «SBE» полностью опенсорсная и может быть изучена/модифицирована пользователем, в отличие от

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 3)
Ответ на: комментарий от hateWin

Ну как бы я особо и не топлю за проприетарный БИОС, просто написал почему считаю его чуточку лучше чем проприетарный UEFI. А так, опенсорс - наше всё ;-)

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

просто написал почему считаю его чуточку лучше чем проприетарный UEFI

Угу. Он безопаснее, потому что ты в это веришь. «По ощущениям», ага

hateWin ★☆
()
Ответ на: комментарий от hateWin

В качестве аргументов - совместимость с UEFI-малварью, более широкая «attack surface» и расширенное пространство для дыр ввиду жирноты UEFI

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

более широкая «attack surface» и расширенное пространство для дыр ввиду жирноты UEFI

Это сказки, а не аргументы. Сам по себе UEFI не предполагает никакой жирноты.

совместимость с UEFI-малварью

Ты в курсе, что в бутсектор можно записать любое дерьмо, и классический биос его схавает?

hateWin ★☆
()
Ответ на: комментарий от windows10

некоторые ноутбучные компоненты имеет меньший температурный диапазон, чем кремниевый микропроцессор.

Мой Y550P несколько лет проработал с регулярной температурой его i3 и gt240m в 100 градусов.

devl547 ★★★★★
()
Ответ на: комментарий от windows10

Спорим не определишь, где он стоит ?

Эксперимент из разряда «спорим, что ты не определишь, что за тобой на улице никто не идёт? (ты обязательно должен быть в наушниках и с закрытыми глазами)»

buddhist ★★★★★
()
Ответ на: комментарий от hateWin

Сам по себе UEFI не предполагает никакой жирноты

Но почему-то все имплементации UEFI - жирные. Возьмём опенсорс: Tianocore - ~1 миллион строк кода, а в SeaBIOS - ~50k строк, из которых больше половины задействованы только если включен vboot. А проприетарные БИОСы - умещались во много раз меньших БИОС-чипах, чем жирные UEFI'шки. «Я жирных с детства привык ненавидеть» (C) Маяковский

в бутсектор можно записать любое дерьмо, и классический биос его схавает?

а что он по-твоему должен сделать? проверить его на вирусы, или спросить разрешения у интеля/микрософта/большого брата? если ты про всякие там криптографические подписи и прочий Secure Boot, в coreboot+SeaBIOS есть vboot для этого, который пользователь сам по желанию собирает и настраивает, и который никак не ограничивает свободу этого пользователя грузить что вздумается

SakuraKun ★★★★★
()
Ответ на: комментарий от buddhist

Эксперимент из разряда «спорим, что ты не определишь, что за тобой на улице никто не идёт? (ты обязательно должен быть в наушниках и с закрытыми глазами)»

Слепой тест - вполне себе нормальная практика исследований того или иного результата с исключением субъективного фактора, плацебо если по-нашему.

man бесполезность.

windows10 ★★★★★
()
Ответ на: комментарий от linuxoidspb

Не слышал чтобы кто-то вообще что-то начинал делать чтобы «подобраться к отключению ME». Так про покупку - не более чем произвольное предположение. Теоретически такое может быть, практически для этого как минимум кто-то должен был хотя бы начать и добиться хоть какого-нибудь прогресса, причём сделать это публично и под реальным именем, чтобы Интель об этом узнал.

Stanson ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.