LINUX.ORG.RU

Избранные сообщения ii343hbka

Осилил UEFI и GPT

Форум — General

На дворе почти 2015 год, а вы все еще используете BIOS с Bootloader'ами вместо так всеми ненавистного UEFI? Да и вообще, кто использует MBR, когда объемы жетских дисков давно перевалили за 2TiB?

Установка Linux с использованием GPT-таблицы разделов (вместо MBR) и без использования загрузчика (на самом деле загрузчик сам UEFI) немногим отличается от своего классического варианта.

На картинке и видео процесс загрузки такой системы. Как видно, от замыкания Power Switch пин-контактов на материнской плате и до загрузки системы проходит ровно 10 секунд.

Как всегда, начинаем установку с подготовки диска.
Забудьте про fdisk и MBR, на его смену пришел parted и GPT.

# parted -a optimal /dev/sda
(parted) mklabel gpt
(parted) unit MiB
(parted) mkpart esp fat32 1 513
(parted) mkpart primary ext4 513 33281
(parted) set 1 boot on
(parted) quit

И получаем такую картину с двумя разделами.

# parted /dev/sda -s unit GiB print
Model: ATA SanDisk SSD U110 (scsi)
Disk /dev/sda: 58.7GiB
Sector size (logical/physical): 512B/512B
Partition Table: gpt

Number  Start    End      Size     File system  Name     Flags
 1      0.00GiB  0.50GiB  0.50GiB  fat32        esp      boot
 2      0.50GiB  32.5GiB  32.0GiB  ext4         primary

Первый раздел используется как загрузочный, в нем предпологается хранить ядра. FAT32/16 обязательное требование к файловой системе, т.к. его понимает UEFI и сможет загрузить что угодно с этого раздела.

# mkfs.vfat -F 32 /dev/sda1
# mkfs.ext4 /dev/sda2

# mount /dev/sda2 /mnt
# mount /dev/sda1 /mnt/boot

Запускаем какой-нибудь setup и устанавливаем дистрибутив в обычном режиме. Во время сборки ядра Linux необходимо включить опцию CONFIG_EFI_STUB=y, а в CONFIG_CMDLINE=root=/dev/sda2 ro quiet перечислить все нужные вам параметры ядра.

# cp arch/x86_64/boot/bzImage /boot/vmlinuz64.efi

Прописываем загрузку ядра в UEFI и собственно на этом все.

# efibootmgr -c -l "\vmlinuz64.efi" -L "Linux64"
BootCurrent: 0000
Timeout: 1 seconds
BootOrder: 0000,0007
Boot0007 UEFI: Built-in EFI Shell
Boot0000* Linux64

Выигрыш в скорости загрузки UEFI-системы по сравнению с grub/lilo/syslinux около ~3-5 секунд.

А теперь вопрос. Обязательно ли перечислять параметры ядра в CONFIG_CMDLINE? Потому что пробовал их указать в efibootmgr в конце — непроканало. ЧЯДНТ? Получается, надо каждый раз пересобирать ядро?

Перемещено leave из talks

 ,

Spoofing
()

Пудель снова кусается — проблема с дополнением в TLS 1.x

Новости — Безопасность
Группа Безопасность

Около двух месяцев назад инженер Bodo Möller совместно с Thai Duong and Krzysztof Kotowicz из Google Security Team обнаружил уязвимость в SSL — POODLE (Padding Oracle On Downgraded Legacy Encryption), которая позволяет осуществлять Man-in-the-Middle (MitM) и расшифровать информацию между клиент-сервером.

Теперь (два дня назад), SSL-гуру Adam Langley из Google обнаружил новую уязвимость (CVE-2014-8730) в TLS v1.x, которая, в некоторых реализациях не проверяет дополнение /англ. «padding»/ после дешифровки в режиме CBC.

В новой версии атаку осуществить намного проще: теперь не нужно спускаться с TLS до SSLv3, а просто достаточно вставить вредоносный JavaScript. Успешная атака использует около 256 запросов чтобы дешифровать 1 байт cookie, или 4096 запросов для 16-ти байтного cookie. Это делает атаку достаточно практичной.

Хорошей новостью является факт, что только 10% серверов подвержены данной атаке (судя по докладу SSL Pulse).

Adam Langley упомянул в своём блоге: «Все протоколы до TLS 1.2 с AEAD шифром криптографически поломаны».

Ivan Ristić добавил тест на новую уязвимость в SSL-сканер SSLLabs.

>>> Подробности

 , poodle, , ,

arno
()

Припаять оторвавшийся проводок.

Форум — General

Демонтировал ноутбучный блютус-модуль и случайно оторвал проводок от колодки :(
Беглый осмотр места происшествия показал, что припаять обратно практически невозможно.

Я прав? Или есть примеры историй успеха?

 , ,

Deleted
()

sfq flow распределение нагрузки

Форум — Admin

Привет всем. У меня тут такой вопрос - кто использует sfq + flow has keys dst? в инете инфы мало, ничего конкретного не нашел. Пытался настроить с класами htb + sfq, но когда добавляю

tc filter add dev eth0 pref 1 parent 2: protocol ip handle 2 flow hash keys nfct-src,nfct-dst divisor 1024
то дропаются пакеты. Прошу поделится информацией и\или конфигами =)

NickNill
()

Шейпинг траффика «всем поровну»

Форум — Admin

Есть сетка, есть шлюз в ней, шлюз смотрит в Интернет (eth3) и в сетку (eth2). Количество компов в сетке величина переменная. Сидят в Интернете не все.
В идеале алгоритм такой:

  • компьютер подключается к сети, пытается выйти в интернет
  • если он один хочет в интернет, шлюз отдает ему всю ширину внешнего канала (2,4 МБит/с)
  • если вместе с ним хотят в интернет еще n компьютеров, то канал делится на n+1 равных частей, кои отдаются всем хотящим

Что нужно:

  • реализовать приведенный выше алгоритм на ubuntu server 12.04
  • избежать снижения скорости обмена между желающими в интернет компьютерами
  • ширина канала должна быть для всех протоколов без исключения (торренты в том числе)

Что мне не хватает:

  • достаточного знания iptables
  • времени и денег

 ,

kostett
()