Дорогие друзья, я приглашаю вас на одиннадцатое международное онлайн-«виртПиво», которое состоится в этот четверг! Эта встреча — отличная возможность обсудить опенсорсные прошивки/железо и провести увлекательный познавательный вечер за чашкой ☕☕ в приятной компании.

( читать дальше... )

>>> Страница встречи: подробности + все ссылки на подключение

Предложение по прекращению поддержки загрузки из Legacy BIOS в Fedora 37 отклонено техническим комитетом. Вопрос отложен до выхода Fedora 38 с учетом нижеописанного.

Технический комитет высказал также рекомендацию по сохранению поддержки BIOS с помощью использования Grub, как это реализовано в других дистрибутивах Linux, например Ubuntu, при этом вынести ресурсы по сопровождению поддержки BIOS в отдельные модули, которые будет сопровождать отдельный комитет BIOS SIG (Special Interest Group), который предлагается учредить. Основная команда при этом будет заниматься поддержкой UEFI.

Будет ли этот комитет заниматься поддержкой BIOS в рамках CentOS Stream 10 и RHEL 10, или же эта поддержка будет осуществляться в рамках EPEL, не сообщается.

>>> Подробности

Беном Коттоном, занимающим в Red Hat должность Fedora Program Manager, опубликовано предложение по прекращению поддержки Legacy BIOS в Fedora 37 для архитектуры x86_64. Изменение не затронет установленные ранее системы, однако новые инсталляции будут возможны только в режиме UEFI.

>>> Подробности

В утилите Ventoy, предназначенной для загрузки ОС ПК и ноутбуков с файлов образов различных дистрибутивов, добавлена полноценная поддержка загрузки файлов ISO/WIM/IMG/VHDx/EFI напрямую с локальных накопителей без необходимости их копирования на загрузочную флешку (клавиша F2 на загрузочном экране Ventoy).

Инструкция по локальной загрузке с использованием специально подготовленных vlink-файлов

Ventoy — это кроссплатформенная утилита для Linux и Windows, созданная с целью заменить такие утилиты как Rufus, UNetbootin, balenaEtcher, ROSA Image Writter, Mac Linux USB Loader, mintstick и прочие проекты, часть из которых заброшена. Поддерживается загрузка образов Windows, WinPE, Linux, ChromeOS, Unix, VMware, и другие. Программа распространяется по лицензии GPLv3.

Ventoy поддерживает таблицы разделов MBR и GPT, Legacy Bios Boot, UEFI, Secure Boot, автоустановочные сценарии для Ubuntu, Debian, RedHat, SUSE и Windows.

В случае, когда необходимо часто создавать загрузочные флешки для различных ОС, использование Ventoy вместо традиционных утилит «Image Writer», поставляемых в составе многих популярных дистрибутивов, продлевает срок службы носителей, так как требует однократной установки, без необходимости постоянного затирания начальных секторов устройства и/или пересоздания таблицы разделов. Для установки Ventoy на флешку предлагается графический интерфейс на GTK3/Qt5. В процессе установки создается раздел exFAT с максимальным размером устройства, на который достаточно просто скопировать ISO файл ОС (НЕ используя утилиты вроде dd, cat). Этим же разделом можно продолжать пользоваться как обычно для хранения/копирования данных без повреждения работоспособности установленной на флешку Ventoy.

>>> Подробности

В связи с тем Intel прекращает поддержку BIOS в 2020 году https://www.phoronix.com/scan.php?page=news_item&px=Intel-Legacy-BIOS-EOL-2020

«So Intel platforms produced this year presumably will be unable to run 32-bit operating systems, unable to use related software (at least natively), and unable to use older hardware, such as RAID HBAs (and therefore older hard drives that are connected to those HBAs), network cards, and even graphics cards that lack UEFI-compatible vBIOS (launched before 2012 – 2013) etc.»

«Сборки для Intel, выпущенные в этом году, не смогут запускать 32-битные приложения, не будут способны использовать связанное с этим ПО (по крайней мере нативно) и не будут способные использовать старое оборудование, например RAID HBA (и старые жесткие диски, которые его используют), сетевые карты и даже видеокарты, у которых нет UEFI-совместимого vBIOS (то есть выпущенные до 2012-2013)»

У разработчиков Fedora ведется обсуждение об отказе вообще от BIOS и полностью перейти на UEFI. Сама дискуссия была начата 30 июня, но сейчас она весьма активна.

P.S. Насколько я понял, хотели это уже сделать в выходящий на этой недели Fedora 33 (релиз 20 числа, объявление о релизе 27, после того как на все зеркала зальется) но пока отложили.

>>> Подробности

Jeremy Soller (инженер system76) сообщил о том, что он начинает работу по портированию coreboot (LinuxBIOS) для современных систем AMD Ryzen (серии Matisse и Renoir), при поддержке Lisa Su (AMD CEO). Проект представляет собой свободную альтернативу для проприетарных и закрытых систем BIOS и UEFI.

>>> Подробности

Super UEFIinSecureBoot Disk — образ диска с загрузчиком GRUB2, предназначенным для удобного запуска неподписанных efi-программ и операционных систем в режиме UEFI Secure Boot.

Диск можно использовать в качестве основы для создания USB-накопителя с утилитами восстановления компьютера, для запуска различных Live-дистрибутивов Linux и среды WinPE, загрузки по сети, без отключения Secure Boot в настройках материнской платы, что может быть удобно при обслуживании чужих компьютеров или корпоративных ноутбуков, например, при установленном пароле на изменение настроек UEFI.

Образ состоит из трех компонентов: предзагрузчика shim из Fedora (подписан ключом Microsoft, предустановленным в подавляющее большинство материнских плат и ноутбуков), модифицированного предзагрузчика PreLoader от Linux Foundation (для отключения проверки подписи при загрузке .efi-файлов), и модифицированного загрузчика GRUB2, который загружает EFI-файлы самостоятельно, не используя функции UEFI.

Во время первой загрузки диска на компьютере с Secure Boot необходимо выбрать сертификат через меню MokManager (запускается автоматически), после чего загрузчик будет работать так, словно Secure Boot выключен: GRUB загружает любой неподписанный .efi-файл или Linux-ядро, загруженные EFI-программы могут запускать другие программы и драйверы с отсутствующей или недоверенной подписью.

Для демонстрации работоспособности, в образе присутствует Super Grub Disk (скрипты для поиска и загрузки установленных операционных систем, даже если их загрузчик поврежден), GRUB Live ISO Multiboot (скрипты для удобной загрузки Linux LiveCD прямо из ISO, без предварительной распаковки и обработки), One File Linux (ядро и initrd в одном файле, для восстановления системы), и несколько UEFI-утилит.

Диск совместим с UEFI без Secure Boot, а также со старыми компьютерами с BIOS.

>>> Репозиторий диска

Microsoft анонсировала Project Mu — адаптацию TianoCore edk2, распространяемую под лицензией 2-clause BSD.

Project Mu представляет собой набор из репозиториев, предназначенных для сборки UEFI. Project Mu использует TianoCore edk2 в качестве upstream, но при этом имеет значительные изменения и улучшения для использования в крупных проектах.

Проект учитывает реалии вендоров, которым требуется интегрировать аппаратно-специфичные части под NDA. Структура кода организована таким образом, чтобы вендор мог изолировать проприетарные части в отдельный репозиторий.

Особенности проекта:

• Структура репозиториев и процесс разработки адаптирован для распространения «Firmware as a Service».
  
• Экранная клавиатура.
  
• Безопасное управление настройками UEFI.
  
• Улучшение безопасности за счет удаления неиспользуемого устаревшего кода (практика, известная как уменьшение поверхности атаки).
  
• Ускорение загрузки.
  
• Редизайн меню.
  
• Множество тестов и утилит для оптимизации и анализа качества.
  

>>> Подробности

Вышел релиз 1.0 утилиты flashrom, позволяющей прошивать flash-чипы (к примеру, uefi или bios), не выходя из рабочей ОС (Windows и GNU/Linux).

Утилита может использовать все технологии записи, доступные архитектуре x86, а также прошивать практически все существующие чипы. flashrom также быстрее и универсальнее своих аналогов, таких как awdflash, amiflash и afudos.

Добавлена опция "--noverify-all", с помощью которой можно будет писать в отдельные области чипа без чтения всех данных (полезно для прошивки Intel ME).

>>> Подробности

Обнаружилось, что на некоторых компьютерах с UEFI удаление файлов в каталоге /sys/firmware/efi/efivars, а также, как следствие, команды вроде rm -rf /sys и rm -rf --no-preserve-root / могут привести к повреждению прошивки материнской платы, после которого компьютер вообще перестаёт загружаться. Восстановить прошивку «в домашних условиях» после этого часто невозможно.

Согласно спецификации UEFI, такого не должно происходить: настройки прошивки должны просто сброситься на заводские. Однако прошивка многих материнских плат содержит ошибки.

Ошибка стала широко известной благодаря сообщению о баге в systemd (хотя это не первое сообщение об этой проблеме): так как виртуальная файловая система в /sys/firmware/efi/efivars монтируется systemd, разработчикам посоветовали монтировать её только для чтения. Леннарт Поттеринг, главный разработчик systemd, отказался это делать, отметив, что существуют программы, которые намеренно меняют настройки прошивки через этот каталог. systemd можно заставить монтировать его только для чтения, если вписать соответствующую строчку в /etc/fstab с параметром ro.

Мэттью Гэррет, специалист по безопасности CoreOS, в прошлом активный разработчик ядра Linux, поддержал решение Поттеринга и принял вину на себя как автор соответствующего кода в ядре. Он считает, что ядро должно само решать эту проблему: оно обычно содержит воркэраунды для проблем с оборудованием, в том числе для проблем с UEFI.

Пользователям GNU/Linux можно посоветовать узнать, не подвержены ли их системы этой ошибке, и быть очень осторожными при массовом удалении системных файлов. А также, при необходимости, настроить монтирование efivars только для чтения, но это может привести к неполадкам при установке GRUB, при работе efibootmgr, и systemctl --firmware-setup reboot, и, возможно, других программ.

>>> Подробности

Sabayon Linux – легковесный, дружественный к пользователю дистрибутив, основанный на Gentoo. Как и последний, он поддерживает сборку из исходных кодов, однако начальная установка происходит из бинарных пакетов. Совместимость с Gentoo полностью сохранена.

Список изменений:

• В качестве системы инициализации по умолчанию выбрана systemd. Openrc по-прежнему доступна, однако со следующей версией GNOME её планируют убрать.
• Совершен переход на ядро 3.10.4. Ускорен процесс обновления нестабильных ядер, и задержка теперь не превышает 36 часов.
• Разработчики отказались от поддержки UEFI в 32-битной версии Sabayon – чтобы использовать SecureBoot, необходимо выбирать 64-битную.
• Графическая оболочка по умолчанию – GNOME 3.8. Также доступны:
  • KDE 4.10 (скоро будет доступен 4.11);
  • MATE 1.6.2;
  • Xfce 4.10.
• Текущая версия LibreOffice – 4.1.

>>> Пресс-релиз

Тайваньский производитель JetWay выложил на своем ftp-сервере очень много приватной информации, среди которой любопытствующие специалисты по безопасности нашли файлы, похожие на приватные ключи для подписи UEFI, и исходники, похожие на исходные тексты BIOS для различных платформ Intel.

Прошло почти полдня с момента обнаружения, а на ftp все так и пускают с логином и паролем ftp:ftp. Если в вашем дистрибутиве пока не собрали 99$ на подписывание загрузчика ключом от майкрософт, то самое время воспользоваться конкурирующим и более удобным решением.

>>> Подробности

8 февраля Джеймс Боттомли (James Bottomley, CTO компании Parallels, активный разработчик ядра Linux, директор The Linux Foundation) сообщил о выходе UEFI загрузчика, подписанного ключами Microsoft для систем с включенным Secure Boot. Загрузчик состоит из двух файлов: PreLoader.efi и HashTool.efi. Также Джеймс выложил miniUSB образ, содержащий в себе EFI shell и использующий gummiboot для загрузки ядра.

>>> Подробности

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

( читать дальше... )

>>> Подробности

Джеймс Боттомли (James Bottomley) от лица организации Linux Foundation объявил о планах предоставления всем дистрибутивам Linux универсального решения, которое позволит упростить обеспечение поддержки работы на системах с активным по умолчанию режимом безопасной загрузки UEFI.

( читать дальше... )

Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.

Источник: opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=35059)

>>> Подробности

Этим летом компания Canonical сообщала о планах отказаться от использования GRUB2 в качестве первичного загрузчика Ubuntu и перейти на использование первичного загрузчика на основе Intel EFILinux (далее загрузка передавалась бы GRUB2). Однако, совсем недавно из блога Canonical стало известно, что компания уладила все юридические вопросы и будет использовать GRUB2 в своем дистрибутиве как первичный загрузчик.

( читать дальше... )

>>> Подробности на английском

В столице Никарагуа, городе Манагуа, с 1-го по 14-е июля проходит конференция разработчиков Debian и представителей других Linux-дистрибутивов.

UEFI является горячей темой обсуждения в связи с грядущим выпуском Microsoft Windows 8. Неуверенность вызывает то, как различные производители будут осуществлять безопасную загрузку. Некоторые дистрибутивы Linux отчётливо обозначили разные подходы к поддержке спорной технологии.

Разработчики Debian обратили внимание на решение Fedora по этому вопросу, а также реализации SecureBoot на QEMU-KVM. Особое внимание было уделено спорному подходу Ubuntu относительно её планов SecureBoot. Невзирая на 45-минутное обсуждение этого вопроса, участники конференции не пришли к единому мнению — поступить как Fedora с использованием GRUB2, как Ubuntu с Efilinux и собственными ключами, либо же создать свою реализацию для работы с EFI / SecureBoot.

Тем не менее, надо что-то решать для будущей версии Debian 7.0, когда она, предположительно, выйдет в начале следующего года. К этому времени ряд материнских плат и компьютеров будет поставляться с технологией, уже сейчас вызывающей головную боль разработчиков. Представители Canonical также приняли участие в обсуждении, в ходе которого продолжили настаивать на своём видении решения этой проблемы, вопреки недавнему заявлению Free Software Foundation.

Кроме этого на конференции в последующие дни была обсуждена поддержка ARM AArch64, LLVM/Clang, обновление ARM-портов, интеграция Emdebian в Debian.

>>> Подробности

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

Kay Sievers опубликовал в Google+ ссылку на написанный им совместно с Harald Hoyer простой и пока безымянный системный загрузчик, совместимый с UEFI. Загрузчик может показывать простое меню и загружать с системного раздела EFI ядра Linux (собранные с опцией CONFIG_EFI_STUB) и другие EFI-образы. Настройка осуществляется с помощью текстовых файлов, по одному на каждое загружаемое ядро.

>>> Подробности

Мэтью Гаррет (Matthew Garrett) анонсировал поддержку режима безопасной загрузки UEFI в следующем релизе дистрибутива Fedora.

На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управления штатному загрузчику GRUB 2, который, как и ядро, и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora. Первичный загрузчик будет заверен представителями проекта Fedora через сервис Microsoft, позволяющий за $99 (сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

>>> Подробности (opennet.ru)