LINUX.ORG.RU

Удаление /sys/firmware/efi/efivars может повредить материнскую плату

 , , ,


3

8

Обнаружилось, что на некоторых компьютерах с UEFI удаление файлов в каталоге /sys/firmware/efi/efivars, а также, как следствие, команды вроде rm -rf /sys и rm -rf --no-preserve-root / могут привести к повреждению прошивки материнской платы, после которого компьютер вообще перестаёт загружаться. Восстановить прошивку «в домашних условиях» после этого часто невозможно.

Согласно спецификации UEFI, такого не должно происходить: настройки прошивки должны просто сброситься на заводские. Однако прошивка многих материнских плат содержит ошибки.

Ошибка стала широко известной благодаря сообщению о баге в systemd (хотя это не первое сообщение об этой проблеме): так как виртуальная файловая система в /sys/firmware/efi/efivars монтируется systemd, разработчикам посоветовали монтировать её только для чтения. Леннарт Поттеринг, главный разработчик systemd, отказался это делать, отметив, что существуют программы, которые намеренно меняют настройки прошивки через этот каталог. systemd можно заставить монтировать его только для чтения, если вписать соответствующую строчку в /etc/fstab с параметром ro.

Мэттью Гэррет, специалист по безопасности CoreOS, в прошлом активный разработчик ядра Linux, поддержал решение Поттеринга и принял вину на себя как автор соответствующего кода в ядре. Он считает, что ядро должно само решать эту проблему: оно обычно содержит воркэраунды для проблем с оборудованием, в том числе для проблем с UEFI.

Пользователям GNU/Linux можно посоветовать узнать, не подвержены ли их системы этой ошибке, и быть очень осторожными при массовом удалении системных файлов. А также, при необходимости, настроить монтирование efivars только для чтения, но это может привести к неполадкам при установке GRUB, при работе efibootmgr, и systemctl --firmware-setup reboot, и, возможно, других программ.

>>> Подробности

★★★★★

Проверено: JB ()
Последнее исправление: JB (всего исправлений: 11)
Ответ на: комментарий от curufinwe

Хм, ну если вспомнить историю создания UEFI и SecureBoot, то их делали в первую очередь для Windows, чтобы пользователи перестали воровать винду черрез вливания в эту прошивку ключа активации. Линук в этом случае нагородил костыль, позволяющий со своим некоторым «подписанным» сертификатом бутиться. Вот только предполагалось, что устройство с UEFI пользователь просто купит и просто будет юзать, без установки Linux.

bookman900 ★★★★★
()
Ответ на: комментарий от bookman900

Ага. Работает у него оно. А ты в курсе, что обычная переустановка Windows способна сделать из некоторых ноутбуков кирпич? Ровно по той же причине - кривое UEFI. Именно поэтому при переустановке Windows на современных ноутах настоятельно рекомендуется сначала сбросить настройки UEFI на дефолт. Иначе, может возникнуть ситуация, когда в NVRAM остаются одновременно настройки от старой и новой ОСи, отчего оное UEFI откидывает копыта.

anonymous
()
Ответ на: комментарий от bookman900

Хм, ну если вспомнить историю создания UEFI и SecureBoot, то их делали в первую очередь для Windows, чтобы пользователи перестали воровать винду черрез вливания в эту прошивку ключа активации.

Это как понимать вообще? Хорошо себя чувствуешь? Зачем тогда Microsoft требует делать secureboot отключаемым?

Вот только предполагалось, что устройство с UEFI пользователь просто купит и просто будет юзать, без установки Linux.

Ну ты даешь! Если бы так планировалось, зачем вся эта система с перезаливом прошивки при установке ОС? Сделали бы неизменяемую прошивку, которая грузит только предустановленную винду, и все.

curufinwe ★★★★★
()
Ответ на: комментарий от bookman900

если вспомнить историю создания UEFI и SecureBoot, то их делали в первую очередь для Windows, чтобы пользователи перестали воровать винду черрез вливания в эту прошивку ключа активации

Вместо распространения мифов о том, что SecureBoot — это злодейское изобретение MS для ограничения свободы пользователя, нужно распространять знания о том, как им пользоваться правильно, как сгенерировать свои собственные PK и KEK, как удалить предустановленные, как подписать собственный загручик и так далее.

anonymous
()
Ответ на: комментарий от curufinwe

Вот хорошее объяснение того, зачем SecureBoot нужен MS. Непосредственно от человека, пишущего прошивки для матплат.

anonymous
()
Ответ на: комментарий от curufinwe

Зачем тогда Microsoft требует делать secureboot отключаемым?

Насколько я помню, уже не требует. Требовал - чтобы воплей из-за этого зонда, пока его пропихивают во все щели, было меньше.

najlus ★★★★★
()
Ответ на: комментарий от bookman900

Оторви попу от дивана википедии и узнай, что SecureBoot позволяет тебе добавить свои ключи и подписывать загрузчики самому. Так что никоим образом SecureBoot не заточен под винду. Просто все производители включают туда ключ мелкософта.

dmitrmax
()
Ответ на: комментарий от anonymous

обычная переустановка Windows способна сделать из некоторых ноутбуков кирпич?

У меня обычная установка FreeBSD на Lenovo Y550P делала из него кирпич. Надо было вытаскивать хард и вайпать таблицу разделов.

devl547 ★★★★★
()
Ответ на: комментарий от najlus

Насколько я помню, уже не требует. Требовал - чтобы воплей из-за этого зонда, пока его пропихивают во все щели, было меньше.

Если бы не эти требования, производители-идиоты бы точно делали прошивки UEFI так, что работала бы только предустановленная винда. Так же проще и дешевле. А такая ситуация самой MS не нужна на PC. Другое дело мобильные устройства.

curufinwe ★★★★★
()
Ответ на: комментарий от curufinwe

Почему же, нужна, но если сделать так сразу, то антимонопольные комитеты могут возбудиться.

anonymous
()
Ответ на: комментарий от anonymous

переустановка Windows

Это пережиток поколения Windows 7 и BIOS. Сейчас все решается просто в виде переустановки изнутри, без перезаписи. И я не верю все равно, что UEFI так зажопили. Иначе бы была огромная кампания по фиксингу UEFI. Но такого нет.

/// В этом плане OS X с ее EFI лучше))

bookman900 ★★★★★
()
Ответ на: комментарий от te111011010

Так ты же настоящий ГСМ.

ЧТо такое ГСМ, болезлый? Ты настолько «двинутый», что не можешь полными словами написать?

bookman900 ★★★★★
()
Ответ на: комментарий от anonymous

знания о том, как им пользоваться правильно, как сгенерировать свои собственные PK и KEK, как удалить предустановленные, как подписать собственный загручик и так далее.

Есть одна проблема: все эти действия, по-хорошему, «неправильны», как, к примеру, Jailbreak iOS. Да, ты получаешь что хотел, но риск огрести по полной резко возрастает. UEFI работает по тому же видимо принципу.

bookman900 ★★★★★
()
Ответ на: комментарий от curufinwe

Зачем тогда Microsoft требует делать secureboot отключаемым?

Уже не требует.

anonymous
()
Ответ на: комментарий от devl547

А у меня на леново g505s линукс в легаси режиме ставится с диска, а потом наглухо виснет после загрузки инитрамфс. Проц при этом на полную вжаривает.

При этом если в uefi ставить, то всё ок.

Я так и не понял в чём проблема.

Zidane
()
Ответ на: комментарий от bookman900

Вот тут и не понятно, Винда Виндой, но что это творение делает в linux. На крайняк, если это препятствует установки linux, всегда найдутся люди, которые это ограничение хакнут.

У меня после установки убунты, на ноуте, появилась в биосе загрузочная запись «ubuntu», я ее удалил. И больше никаких uefi.

barberry ★★
()
Ответ на: комментарий от bookman900

Ути-пути, вы правда такой глупенький?! А эпопею с прошивками intel nuc'ов не желаете прокомментировать? А то было бы оченно интересно узнать, отчего же там нынче лялихи проще устанавливать, нежели форточки?

Да, там были проблемы с лялихами. Только вот закончились они уже два года как. Ну так что, будем блистать, знаток вы наш за злобность корпорациев?!!

anonymous
()
Ответ на: комментарий от curufinwe

Изначально не было такого требования. Но потом вопли начались что любимая хп не запустится, ну и линукс... Воплей было много и это требование добавили

onon ★★★
()
Ответ на: комментарий от bookman900

«защищает» ПК от вторжения линукса

эм, нет. uefi и secure boot — не одно и то же

f1u77y ★★★★
()
Ответ на: комментарий от bookman900

все эти действия, по-хорошему, «неправильны», как, к примеру, Jailbreak iOS.

Эти действия описаны в спецификации, в отличие от джейлов, так что мимо.

zink ★★
()
Ответ на: комментарий от bookman900

В итоге даже десятая винда отлично работает не то что без Secure Boot - без UEFI. Реально. Только сегодня поставил её в виртуалочку, в которой включена только поддержка BIOS. Отлично работает и не даже нет никаких предупреждений.

Кстати, иногда только это и спасает. Ибо на некоторых особо кривых UEFI какая-либо винда ставится отказываться или может окирпичить систему при переустановке. То есть банальное «переустановить винду» может привести к печальным последствиям, даже если пользователь слышать не слышал ничего про Linux.

Так что виноват таки вендор прошивки, который не соблюдает спецификации.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от curufinwe

Производители-идиоты делают так, что именно только предустановленная винда и работает. То есть можно окирпичить ноут даже просто при попытке поставить другую винду или восстановить старую.

То есть нажимаешь в винде «восстановление системы» или «сброс к заводским настройкам» - и ноутбук кирпичится. Или ты купил более крутую винду (какую-нибудь Pro вместо Home) и поставил её вместо того, что стояло по дефолту - ноутбук кирпичится. А ведь ещё нынче всем навязывают обновление до десятки. Скачал обновление и запустил установку - и ноутбук кирпичится. Такие производители реально есть.

На такие материнки Linux и то проще поставить, потому что есть хоть какой-то контроль за процессом и можно обойти острые углы. А винда то действует всегда по одной типовой, но никому неизвестной процедуре. И если материнка от неё дохнет, то выхода нет.

KivApple ★★★★★
()
Ответ на: комментарий от bookman900

То есть ты считаешь нормальным, что переустановка винды приводит к окирпичиванию ноутбука? Типа «да вы чо! это устаревшая функция, ею всё равно никто не пользуется».

А как же, скажем, обновления с 8 до 10? Оно ведь тоже по сути переустановка, просто часть файлов сохраняется (кстати, истории как такое обновление убивает UEFI тоже есть). А ведь это обновление в добавок очень агрессивно втюхивается. Или если я куплю Pro и захочу заменить ею предустановленную Home? Или вирус убьёт систему так, что только полный реинсталл?

KivApple ★★★★★
()
Ответ на: комментарий от yars068

Арч сначала, потом пробовал убунту и дебиан. С диска ставятся, с hdd виснет

Zidane
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.