forum.opennet.ru - "Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux" (333)

"Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux"	+/–
Сообщение от opennews (?), 26-Окт-22, 10:42
Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57984
Ответить \| Правка \| Cообщить модератору

Оглавление

LinuxD на шаг ближе , RedHat Support (?), 10:42 , 26-Окт-22, (1) +34

Поттеринг был ниспослан линуксойда за их 8594 ГРЕХИ 8592 , Аноним (6), 10:46 , 26-Окт-22, (6) +91

Сотрудник Микрософта предложил сотруднику Микрософта ещё не предложили по, Аноним (374), 23:27 , 27-Окт-22, (374) +2

Они потом возвращаются Увы , Анониим Ноним (?), 18:29 , 29-Окт-22, (419)

Это за какие еще , shardddin (?), 19:24 , 29-Окт-22, (421)

За несоблюдение прописанного в учебнике по Integrity Помните и не забывайте исти, Аноним (431), 18:29 , 05-Ноя-22, (431)

За несоблюдение прописанного в учебнике по Integrity Помните и не забывайте исти, Аноним (431), 18:40 , 05-Ноя-22, (433)

Ничего личного, такой стиль бизнеса в M , Аноним (431), 18:31 , 05-Ноя-22, (432) +1

НУ вам виднее, Аноним (46), 11:35 , 26-Окт-22, (46)

Выдирать с мясом это вот всё потом, в будущем, будет очень неприятно , Аноним (2), 10:43 , 26-Окт-22, (2) +32

Маняфантазии Systemd уже победили Бог накажет, накажет 111, Шарп (ok), 11:01 , 26-Окт-22, (27) –13

ну в моем дистрибе системГ нет и не было, причём дистриб конфетка - даже лучше а, лютый жабби.... (?), 13:40 , 26-Окт-22, (131) –6

не ври, в винде системд уже есть, муу (?), 14:28 , 26-Окт-22, (159) +10

Винда не самый лучший дистриб, далеко не лучший , Аноним (227), 18:09 , 26-Окт-22, (227) +3

Да что же ты такое несешь , AxaRu (?), 07:32 , 28-Окт-22, (379)

Artix , Аноним (267), 20:49 , 26-Окт-22, (267)

Artix еще нестабилен Юзал его плазменную версию два года Многовато глюков П, x230 (ok), 16:27 , 27-Окт-22, (339) +1

А точнее можно Что за дистр , shardddin (?), 19:25 , 29-Окт-22, (422)

Скоро опеннет эксперты-программисты собирутся и сделают свой линукс Без systemd, Аноним (160), 14:29 , 26-Окт-22, (160) +8

нахрен это моно-полублоатварь нужналучше взяться допиливать гайку, Аноним (196), 16:42 , 26-Окт-22, (196)

Гайкой пусть занимаются латентные проприетарщики Думаешь мы не знаем, что прогр, Аноним (200), 16:48 , 26-Окт-22, (200) +1

какая хрен разница, сейчас всё открытоили тут какие-то сектанские убеждения имею, Аноним (196), 17:08 , 26-Окт-22, (207) +1

Где брать дрова для гайки , Аноним (267), 20:52 , 26-Окт-22, (268) +1

Что, опять невидия не заводится , Аноним (277), 23:30 , 26-Окт-22, (277)

Зачем собираться, уже сделали Только вас мы не позавем , Аноним (-), 17:18 , 26-Окт-22, (213)
Откатится можно в хрен знает какой год и там это уже все есть или наоборот отсут, Анонимыч (?), 19:05 , 26-Окт-22, (245)
И без питона, разумеется В каждую вторую новость о питоне столько анонимных хей, Аноним (349), 18:41 , 27-Окт-22, (349) +2

Не гневи Бога Один линуксоид как-то пожелал одной зазнавшейся корпорашке, чтоб , Аноним (215), 17:21 , 26-Окт-22, (215) +5

А у Мелкосаксов что может случиться, GitHub ляжет , Аноним (227), 18:07 , 26-Окт-22, (225) –1

Сейчас правильно их называть Мелкосатанисты , AxaRu (?), 07:34 , 28-Окт-22, (380)

Так никто выдирать и не будет Просто перепишут с нуля, на нормальном языке , Аноним (260), 20:19 , 26-Окт-22, (260)

Неужто на RUSTe , Аноним (283), 00:13 , 27-Окт-22, (283)

Читать не умеешь Сказано же, на НОРМАЛЬНОМ , Аноним (313), 11:35 , 27-Окт-22, (313)

Нармаааальныыыый , Аноним (332), 14:40 , 27-Окт-22, (332)

Лет двадцать назад Витус в RU LINUX высказался в духе возможно, мы создадим так, Michael Shigorin (ok), 21:50 , 27-Окт-22, (351) +5

1 Правильная реализация https www opennet ru openforum vsluhforumID3 128763 , Аноним (431), 18:58 , 05-Ноя-22, (434)
это не о TPM SecureBoot selinux , InuYasha (??), 16:27 , 17-Ноя-22, (439)

казачок из Microsoft предложил новую архитектуру верифицированной загрузки Linux, Аноним (3), 10:43 , 26-Окт-22, (3) +52

Почему не считаешь его linux-казачком, которого заслали в винду , Шарп (ok), 13:20 , 26-Окт-22, (118) –11

Потому что подписями заведует Микрософт , n00by (ok), 14:45 , 26-Окт-22, (164) +8
тебе не надоело писать глупости , Аноним (196), 17:09 , 26-Окт-22, (209)
Куда бы его не послали, он везде будет засланным т к по сути своей тyпaк и ни, ____ (?), 18:01 , 28-Окт-22, (398)
Лялиху в Окне ничего не надо А вот у Окна беспокойство, что у Лялиха под крылом, Анониим Ноним (?), 18:34 , 29-Окт-22, (420)

Ты чего Какноникал и Сусей до сих пор не восхваляешь Ща красная шляпка и федорка, КО (?), 13:53 , 26-Окт-22, (137) –1

Горшочек, не вари , DEF (?), 10:43 , 26-Окт-22, (4) +9
Чувак из майкрософта предлагает сделать уефи продвигаемую мелкософтом рабочей се, Аноним (5), 10:45 , 26-Окт-22, (5) +24

Особенно, Аноним (5), 10:47 , 26-Окт-22, (7) +2
Он ничего нового не предлагает, EFISTUB уже существует Разница по сути только в, Аноним (64), 11:56 , 26-Окт-22, (64)
Учитывая то, что это всё и так уже есть, только работает на костылях, предложени, Аноним (396), 16:19 , 28-Окт-22, (396)

Luks ведь не использует initrd, Аноним (8), 10:47 , 26-Окт-22, (8)

Будет вынужден использовать , Аноним (-), 10:49 , 26-Окт-22, (11) +4

Зачем , Аноним (152), 14:18 , 26-Окт-22, (152)

Это ж Лёня - великий логик и конструктор Ответ - потому что, Аноним (238), 18:33 , 26-Окт-22, (238) +3

Ты можешь в initramfs автоматически расшифровывать luks-тома, проверяя по дороге, Аноним (86), 12:34 , 26-Окт-22, (86) +3

Казалось бы почему бы не облегчить использование пользователем своих ключей И Н, Аноним (-), 10:49 , 26-Окт-22, (10) +19

Так в использовании своих ключей особых сложностей и нет Просто обычно никто да, Аноним (86), 12:38 , 26-Окт-22, (93) +4

То есть можно написать скрипт из нескольких команд, собрать его в пакетик, жалат, n00by (ok), 14:52 , 26-Окт-22, (168) +1

Да Вот несложный скрипт, генерящий ключи https www rodsbooks com efi-bootload, Аноним (86), 16:40 , 26-Окт-22, (195) +2

как вы считаете, вирус типа шифровальщик или его оператор смогут сделать это, ivan_erohin (?), 19:51 , 26-Окт-22, (252)

Попробуйте выполнить systemctl reboot --firmware-setup без прав рута Работает , n00by (ok), 08:36 , 27-Окт-22, (291)
Прописать свои ключи - нет Но если есть локальный рут, то малварь и так может д, Аноним (86), 10:53 , 27-Окт-22, (306) +1

Спасибо То есть тут основная сложность - объяснить пользователю, что нажать в б, n00by (ok), 08:39 , 27-Окт-22, (292) +2

Думаю, потому что делают механизм, работающий из коробки, рассчитанный на массов, Аноним (86), 10:56 , 27-Окт-22, (307)

В вышеприведённом скрипте есть сложность - он непонятен пользователю Инструкции, n00by (ok), 12:22 , 27-Окт-22, (318)

В том скрипте особо ничего понимать и не требуется, он просто генерирует все нео, Аноним (86), 16:12 , 27-Окт-22, (337)

Это проблема не понимания, а, скорее, психологического плана Пользователь испол, n00by (ok), 11:18 , 28-Окт-22, (389)

А там нет вот этой кнопки -- фирмварешлёпы резвятся очень по-разному , Michael Shigorin (ok), 21:57 , 27-Окт-22, (352)

Помню, в ответ на вопрос 171 что можно сделать в rpm нового 187 , написал я п, n00by (ok), 11:24 , 28-Окт-22, (390)

Простые вещи не сопровождаются инструкциями, начинающимися словами 171 ключей , AlexYeCu_not_logged (?), 15:12 , 26-Окт-22, (174) +5
А я не понимаю какая мне дома польза от этого , AxaRu (?), 07:38 , 28-Окт-22, (381)

переименуйте уже линукс на леннарт, Sw00p aka Jerom (?), 10:49 , 26-Окт-22, (12) +9

Lennux, Аноним (227), 11:06 , 26-Окт-22, (28) +11

PotterOS, Alexey (??), 11:40 , 26-Окт-22, (53) +5

LEPOLinux, Перастерос (ok), 13:52 , 26-Окт-22, (136)

Ага, а репозитории с ним называть лепрозиториями , Аноним (227), 15:10 , 26-Окт-22, (173) +3

Rosa Lennux чет не звучит пс nooby, предлагай, Sw00p aka Jerom (?), 18:18 , 26-Окт-22, (233) +1

Rosie Lennox, Аноним (267), 20:57 , 26-Окт-22, (269)

Rosamund Lennox вооо , Sw00p aka Jerom (?), 21:33 , 26-Окт-22, (271)

Роза Ленин-Люксембург же Как раз ключи предлагают общие , n00by (ok), 08:44 , 27-Окт-22, (293) +1

LinLennaX, microcoder (ok), 17:20 , 26-Окт-22, (214)
MSUX типа как lexus но как обычно все что от мс, Аноним (-), 18:27 , 26-Окт-22, (236)
Лёникс, Аноним (313), 11:33 , 27-Окт-22, (312)

Winux или Lindows , iCat (ok), 10:49 , 26-Окт-22, (13) +3

да, Аноним (46), 11:36 , 26-Окт-22, (48) +8

Вот зачем его Майки наняли на работу , Аноним (14), 10:51 , 26-Окт-22, (14) +2

скорее, они наняли его на работу задолго до того, как наняли его на работу, Аноним (107), 12:56 , 26-Окт-22, (107) +18

не только лишь наняли , Michael Shigorin (ok), 21:58 , 27-Окт-22, (353) +1

следует читать как поддержку традиционных загрузчиков предполагается сделать оп, Аноним (18), 10:52 , 26-Окт-22, (18) +13

А зачем нужны традиционные загрузчики, когда есть UEFI , Аноним (162), 14:35 , 26-Окт-22, (162) –1

Они работают, причём без башляний MS-у , AlexYeCu_not_logged (?), 15:19 , 26-Окт-22, (180) +7
Потому что UEFI нетрадиционный, Аноним (280), 23:51 , 26-Окт-22, (280) +1

Иллюстрация 16 http mjg59 dreamwidth org 4957 html, Michael Shigorin (ok), 22:01 , 27-Окт-22, (354)

В чём он не прав , Аноним (20), 10:54 , 26-Окт-22, (20)

В желании оффтопика за вендролочить и пускать на железо только проверенных произ, Аноним (14), 10:57 , 26-Окт-22, (22) +20

давно уже так и линукс прогнулся, вендорам никогда ничего не мешает что-либо зал, Sw00p aka Jerom (?), 11:51 , 26-Окт-22, (61)

Мешает Это дорого и нет стандарта Станет легко и появится стандарт сразу залоч, Аноним (87), 12:35 , 26-Окт-22, (87) +5

сами внизу пишите, майки сами стандарты наваляют и проплатят, Sw00p aka Jerom (?), 12:45 , 26-Окт-22, (100)

Таков путь , Аноним (150), 14:15 , 26-Окт-22, (150)

Кирдык этому пути Уже официально Но пусть ещё порыпаются , Michael Shigorin (ok), 22:02 , 27-Окт-22, (355)

откуда такая уверенность я бы рад, но пока вижу сплошь обратное , InuYasha (??), 14:39 , 17-Ноя-22, (436)

Что сейчас мешает им это сделать Он даже не предлагает чего-то, что нельзя сдел, Аноним (64), 11:57 , 26-Окт-22, (66)

Им мешает что нет сабжа из новости Или они должны по твоему сами за это платить, Аноним (87), 12:37 , 26-Окт-22, (89) +3

Сабж из новости есть https wiki gentoo org wiki EFI_stubРазрабатывать ничего н, Аноним (64), 01:10 , 27-Окт-22, (284)

Вот именно, что большинству конечно же нравится Нравится админам продакшн-систе, Аноним (183), 15:26 , 26-Окт-22, (183) –3

У Вас какие-то странные представления о том, что нужно админам продакшн-систем , Аноним (199), 16:47 , 26-Окт-22, (199) +2

Звонишь в датацентр, а там час подключают вашу же ipkvmИли ещё дольше свою, если, Аноним (152), 18:20 , 26-Окт-22, (235)

Да ладно Напиши, что за датацентр, чтоб им никогда не пользоваться Обычно всегд, 1 (??), 16:05 , 27-Окт-22, (334) +1

Точно-точно Одних только курьеров тридцать пять тыщ и флэш Тонко гармонирует,, пох. (?), 16:49 , 27-Окт-22, (345)

После чего выясняется что они перепутали сервер Хорошо если до того как ты что-т, пох. (?), 16:47 , 27-Окт-22, (344) +1

Возможность прикрепления конфиденциальных данных к определённым стадиям удалённо, Аноним (21), 10:57 , 26-Окт-22, (21) +1
Уж лучше Эльбрус , pashev.ru (?), 10:59 , 26-Окт-22, (25)

Майор предложит свою архитектуру верифицированной загрузки P S Это не считая то, Аноним (227), 11:13 , 26-Окт-22, (32) +9

Уж не знаю, кто и в каком звании, но Эшелон-Э так-то давно известен Но глав, Michael Shigorin (ok), 22:05 , 27-Окт-22, (356) +2

А прикольно было бы если бы после революции сделать Эльбрус лекарством против эт, a_kusb (ok), 13:47 , 26-Окт-22, (134)

Пользователи будут ныть ааа у меня не собирается Х, у меня тормозит Y, Аноним (178), 15:17 , 26-Окт-22, (178) +1

А компилятор разве уже перестали давать только после подписывания NDA И проприе, Аноним (86), 16:14 , 27-Окт-22, (338) –1

Похоже, Вы заблуждаетесь так же, как и я пару лет назад возможно, даже благода, Michael Shigorin (ok), 22:10 , 27-Окт-22, (359)

У-уу, а я им в ответ ною а у меня собирается овер 85 сизифа, а у меня не торм, Michael Shigorin (ok), 22:09 , 27-Окт-22, (358)

Одной из основ идеологии СПО была возможность для пользователя полностью контрол, YetAnotherOnanym (ok), 11:07 , 26-Окт-22, (29) +15

Ну так Леннарт и контролирует все, что происходит на его компе А зловред контро, Аноним (62), 11:53 , 26-Окт-22, (62) –2

а я-то думаю, чего ещё осталось не поломатым в линуксе, Аноним (-), 11:16 , 26-Окт-22, (33) +9
Кто-нибудь может попроще новость объяснить , Аноним (35), 11:23 , 26-Окт-22, (35)

попытка запретить загрузку всего, за что не забашляли майкрософту т е доделать, Аноним (107), 11:27 , 26-Окт-22, (39) +7

Это уже сейчас возможно сделать тем, кому это хочется сделать, даже дополнительн, Аноним (64), 12:00 , 26-Окт-22, (68)

Сейчас есть нюанс 171 для заверения initrd пользователю необходимо сгенериров, n00by (ok), 15:02 , 26-Окт-22, (171) +3

В топике ничего не сказано про отсутствие необходимости своих ключей Чтобы UKI з, Аноним (64), 01:14 , 27-Окт-22, (285) –1

Получится не то же самое Если раньше свой ключ мог иметь для того же самого , HyC (?), 03:45 , 27-Окт-22, (286) +1
Я же привёл цитату со словом 171 не_обходимо 187 Это слово означает букваль, n00by (ok), 12:32 , 27-Окт-22, (322) +1

Это какие-то фантазии Во-первых, у microsoft изначально были свои ключи, прописа, Аноним (86), 16:36 , 27-Окт-22, (340) +1

Ну так лягушку-то надо варить постепенно PS если что, я автор http en altlinu, Michael Shigorin (ok), 22:13 , 27-Окт-22, (360)

вот бы кто написал инструкцию как заставить работать цитрикс на альте не установ, жявамэн (ok), 16:49 , 03-Ноя-22, (430)

Ох уж эти анонимные Microsoft Most Valuable Professional с одной булевой перемен, n00by (ok), 11:35 , 28-Окт-22, (391)

Да что эти пользователи вообще себе позволяют Что-то там свое формируют А людя, ыы (?), 11:23 , 26-Окт-22, (36) +9
Хоть я и приветствую systemd и не испытываю особой персональной неприязни, но, Л, llolik (ok), 11:30 , 26-Окт-22, (42) +3

идея верификации процесса загрузки - норм с точки зрения секурности, но вопросы , Sw00p aka Jerom (?), 11:55 , 26-Окт-22, (63) +1

Ну так я и о том же По сути, если обобщить, Лёня предлагает собрать, назовём эт, llolik (ok), 12:07 , 26-Окт-22, (72) +1

Так крупные дистрибутивы навскидку убунта, федора, дебиан, suse уже давным да, Аноним (86), 12:43 , 26-Окт-22, (98)
У меня первая мысль была и как мне gentoo с моим вручную собранным ядром завод, ryoken (ok), 14:10 , 26-Окт-22, (144) +1

Сейчас в Gentoo делается вот так https wiki gentoo org wiki User Sakaki Sakaki, n00by (ok), 15:08 , 26-Окт-22, (172) +2

Он забыл туда воткнуть обязательно сервак верифицированной загрузки, которая в о, Аноним (265), 20:40 , 26-Окт-22, (265)

Не, не макос Вообще не ОС как компонентная _система_ Прошивка Appliance , Michael Shigorin (ok), 22:14 , 27-Окт-22, (361)

Да он же троллит Статья называется О, дивный новый мир доверенной загрузки П, Аноним (45), 11:33 , 26-Окт-22, (45) +3

это уже неважно, наживку местные проглотили , Аноним (46), 11:38 , 26-Окт-22, (50) –3
Так это он окно Овертона смещает Сначала все посмеются над идеей и над теми, кт, ilowry (?), 11:59 , 26-Окт-22, (67) +4
Расскажи мне кто лет 15 назад про бинарные логи в Линуксе, я б тоже подумал, что, AlexYeCu_not_logged (?), 15:22 , 26-Окт-22, (181) +9

Уже и до ядра хочет, лет 12 назад на лурке писал что так и будет, но не поверили, Аноним1212 (?), 11:35 , 26-Окт-22, (47)

Ну всё LFS теперь на новом железе не запустить Будем сидеть на своих 486 Ой та, Аноним (14), 11:40 , 26-Окт-22, (54) –3

Опять белки истерички Я буду сидеть на своём 5950Х, потому что в биосе есть воз, НяшМяш (ok), 13:10 , 26-Окт-22, (112) –3

Всё рады за тебя нет , Аноним (150), 14:14 , 26-Окт-22, (148) –1
Это пока есть возможность Coreboot, к сожалению, матери с 5950X не поддерживает, Аноним (227), 18:16 , 26-Окт-22, (232) –1

Слово Coreboot и слова не поддерживает для вас означают одно и то же , Аноним (277), 23:40 , 26-Окт-22, (279)
Коребут хоть что-то свежее десятилетней давности поддерживает , НяшМяш (ok), 12:48 , 27-Окт-22, (326)

В этом вся суть линуксоидовСначала хвастают непонятно чем, а потом идут в майкам, Аноним (152), 18:06 , 26-Окт-22, (223) –1

ВОПРОС ПРО КОМПИЛЯЦИЮ ЯДРА если я сам перекомпилирую ядро, будет ли возможность , Штунц (?), 11:40 , 26-Окт-22, (52) +1

Нет , Аноним (14), 11:41 , 26-Окт-22, (56) +2

Сам себе сделать доверенным, лол Какой тогда смысл в этой проверке если каждый , Аноним (14), 11:42 , 26-Окт-22, (57)

джампер перезаписи нужно переключить , Sw00p aka Jerom (?), 11:57 , 26-Окт-22, (65) –1
Чтобы обойти, нужно попасть в bios, введя пароль, и добавить свои ключи При это, Аноним (86), 12:46 , 26-Окт-22, (102) +3

Но можно ли прежде сделать диск 171 расшифрованным 187 , а после - по накатан, Бывалый смузихлёб (?), 09:10 , 27-Окт-22, (299)

Если знаешь ключ шифрования, то да Если не знаешь, то сорян , Аноним (86), 12:25 , 27-Окт-22, (320)

Как SecureBoot в UEFI станет неотключаемым, так и не сможешь Пока ещё, на больш, llolik (ok), 11:49 , 26-Окт-22, (60) +3

Не только отключаемый, но еще и можно удалять ключи MSFT и вместо них записывать, Аноним (86), 12:47 , 26-Окт-22, (103)

Скажите это владельцам arm-планшетов на winrt и телефонов nokia lumia, Аноним (262), 20:24 , 26-Окт-22, (262) +2

Как там в 2013 , Аноним (86), 12:26 , 27-Окт-22, (321) +2

Я туда хотетЪ, 1 (??), 16:12 , 27-Окт-22, (336)

В стандарте - да, но далеко не в реализациях В ноутах, например, периодически в, llolik (ok), 11:51 , 27-Окт-22, (316) +1

В каких ноутах такое встречается , Аноним (86), 16:39 , 27-Окт-22, (341)

Не дам конкретику, но точно попадалось -- что-то из ошибочек сам видел, с чем-, Michael Shigorin (ok), 22:17 , 27-Окт-22, (362)
Вот сходу простой случай https wiki archlinux org title Acer_Aspire_E5-575Но , n00by (ok), 11:42 , 28-Окт-22, (392)

Уефи позволяет пока ещё позволяет - в стандарте прописано добавлять свои ключи, Аноним (73), 12:07 , 26-Окт-22, (73) +2

спасибо, Штунц (?), 12:20 , 26-Окт-22, (75)
А удалять уже предустановленные позволяет , Аноним (220), 18:00 , 26-Окт-22, (220)

Да , Аноним (-), 18:06 , 26-Окт-22, (224)

да, через kexec если его не уберут для безопастности но сначала маналупа , ivan_erohin (?), 20:18 , 26-Окт-22, (259)

kexec, вроде, уже лет 7 тоже проверяет подпись загружаемого ядра , Аноним (86), 12:34 , 27-Окт-22, (323)

Да запросто, подписываешь ядро своими ключами и заливаешь ключи в BIOS , Аноним (350), 18:53 , 27-Окт-22, (350)

digital restrictions management, Аноним (69), 12:01 , 26-Окт-22, (69) +4

Как выше сказали - концлагерь Дайте более-менее современную железку на OpenFirmw, ryoken (ok), 14:13 , 26-Окт-22, (146) +3

Недавно узнал, что исходники эльбрусного бута тоже могу попросить, оказывается , Michael Shigorin (ok), 22:20 , 27-Окт-22, (363)

Давно пора уже Я на своих системах поудалял майкрософтские ключи, подписываю сво, Аноним (86), 12:31 , 26-Окт-22, (80)

При подписи своими ключами это решаемо уже сейчас https wiki archlinux org ti, noname.htm (ok), 13:29 , 26-Окт-22, (128) +1

Подтверждаю Если в системе уже используется systemd-boot и dracut, то собрать U, Аноним (215), 16:19 , 26-Окт-22, (188)

А от кого ты там на локалхосте защищаешься, подскажи , Аноним (2), 13:55 , 26-Окт-22, (140) +1

От локальных атакующих secure boot, вообще, только на защиту от них, в общем-то, Аноним (86), 16:50 , 26-Окт-22, (201)

Я так понимаю, шифровать разделы накопителей можно и без secure boot , Аноним (227), 18:19 , 26-Окт-22, (234)

Можно, то тогда использовать автоматическую расшифровку через TPM да и по парол, Аноним (86), 12:37 , 27-Окт-22, (324)

Возьми этот гаечный ключ за 5 баксов 8230 , Аноним (251), 19:37 , 26-Окт-22, (251) +3

Воришка, который выхватит у меня в кафешке со стола ноут, пока я отвлекся на тел, Аноним (86), 16:41 , 27-Окт-22, (342)

Вот совершенно безосновательно А ключи там точно сносятся , ryoken (ok), 14:14 , 26-Окт-22, (149)

Во-первых, особо вариантов нет даже с опенсорс железом можно поставить вопрос, Аноним (86), 16:54 , 26-Окт-22, (202) +1

Это как , microsoft (?), 20:41 , 26-Окт-22, (266) –1

Через KeyTool efi из efitools API у UEFI для этого, как и многого другого, стан, Аноним (86), 12:39 , 27-Окт-22, (325)

Уже смешно -- с учётом шлейфа заботы , Michael Shigorin (ok), 22:21 , 27-Окт-22, (364)

Классно Ждём в mainstream дистрибутивах , Аноним (81), 12:31 , 26-Окт-22, (81)

А мы ждём отказа и гневных комментариев от mainstream-дистрибутивов , InuYasha (??), 14:42 , 17-Ноя-22, (437)

Местным луддитам всё не так Если бы не такие люди как господин Поттеринг, вы бы, Аноним (82), 12:32 , 26-Окт-22, (82) –13

А зачем ты луддит тогда на линуксе сидишь поставь оффтопик 11 и всё , Аноним (87), 12:40 , 26-Окт-22, (96) +2

На windows 11 нет systemd, pulseaudio, wayland, rust и прочих вещей которые так , Аноним (160), 14:25 , 26-Окт-22, (156) –4

А что есть , Аноним (179), 15:18 , 26-Окт-22, (179)

Просадка фпс до нуля в окне, которое не в фокусе , AlexYeCu_not_logged (?), 15:26 , 26-Окт-22, (182) +1
Есть службы и иконки 10013 65039 , Аноним (152), 16:39 , 26-Окт-22, (193)

То ли дело линукс с зомби и демонами, Бывалый смузихлёб (?), 09:14 , 27-Окт-22, (300)

Нормальные драйверы видеокарты, которые при установке не выдают чёрный экран при, Аноним (216), 17:39 , 26-Окт-22, (216)

это которые при установке цветомузыку устраивают, а после 10 ребутов попёрдывают, Аноним (274), 23:08 , 26-Окт-22, (274) +1

А я и не уходил , Аноним (262), 20:26 , 26-Окт-22, (263) +1

Никогда не жрите того, чего не хочется Выкаблучивайтесь Есть Devuan, например , freehck (ok), 19:19 , 26-Окт-22, (248) +2

Я, конечно, плюсанул, но Devuan его мэйнтейнеры - кал Как и в большинстве дис, Аноним (288), 07:32 , 27-Окт-22, (288)

Я бы так грубо не выражался, но в целом причину недовольства оными понять могу С, freehck (ok), 08:58 , 27-Окт-22, (296)
Чем Devuan не угодил , Янис (?), 08:59 , 27-Окт-22, (297) +1

Вот молодец мужик Действует, не смотря на волну хейта Как говорится, 171 соб, Аноним (81), 12:33 , 26-Окт-22, (84) –4

а почему нет, 20 баксов есть 20 баксов, Аноним (107), 12:59 , 26-Окт-22, (108) +5

Не 20, а 30 И не баксов, а тетрадрахм , yet another anonymous (?), 09:08 , 27-Окт-22, (298) +1

Надеюсь у Поттеринга всё получится Системд - лучшее, что случалось с линуксом с, Аноним (82), 12:34 , 26-Окт-22, (85) –15

Жырно , Админ Марии (?), 16:42 , 26-Окт-22, (197) +2

так и не портил бы, хорошо же, Аноним (107), 17:08 , 26-Окт-22, (208) +1

Чёт я так и не понял, а как он предлагает менять initrd на машине пользователя и, DontTreadOnMe (?), 12:49 , 26-Окт-22, (104) +2

Предлагается объединять ядро, initramfs и cmdline в один файл и подписывать его , Аноним (86), 13:01 , 26-Окт-22, (109)

Так подписать-то всё-равно может только дистрибутив Если подписывает пользовате, DontTreadOnMe (?), 13:46 , 26-Окт-22, (133) +1

Диск зашифрован должен быть, ясное дело, и автоматическое расшифровывание без в, Аноним (86), 16:58 , 26-Окт-22, (204) –2

Ну так если диск зашифрован, то не важно подписан initrd или нет Ну если диск, , DontTreadOnMe (?), 10:17 , 27-Окт-22, (302)

Важно, потому что, модифицировав initrd, атакующий может слить ключ шифрования д, Аноним (86), 12:48 , 27-Окт-22, (327)

Конечно, не нужно -- ему же незачем то же самое и на следующий раз А в прошивк, Michael Shigorin (ok), 22:26 , 27-Окт-22, (365)

Если мы говорим про массовых пользователей, против которых навороченные таргетир, Аноним (86), 17:28 , 10-Ноя-22, (435)

Я не совсем понимаю, останется ли при этом загрузчик grub Если ядро не может зап, Аноним (160), 18:24 , 27-Окт-22, (348) +1

Да , n00by (ok), 15:16 , 26-Окт-22, (176) +1
Он предлагает сделать зонт который воткнуть в одно место Местные эксперты так во, Аноним (152), 16:31 , 26-Окт-22, (189) –1

Пора уже дифференцировать корпоративный опенсорс от СПО Корпоративщина под GPL , Аноним (106), 12:56 , 26-Окт-22, (106) +6

Согласен, нужно разделить линукс на два ветки - священная СПО - мерзкая корпорат, annonn (?), 13:34 , 26-Окт-22, (130) –3

Пока что все выглядит так, что корпорации вынуждены тратить огромные деньги, что, Аноним (106), 14:48 , 26-Окт-22, (166) +2

Конечно становится больше Любой Денис Попов может сделать свой Линукс, просто п, Аноним (152), 16:34 , 26-Окт-22, (192)
Ноет про убирание древних платформ Сообщество добавляет драйвера Или может подд, анонимус (??), 17:40 , 26-Окт-22, (217)

И поэтому ты позволишь им присунуть тебе как следует , microsoft (?), 20:16 , 26-Окт-22, (258) +2
По устройствам и платформам производитель разработчик предоставляет полную докум, Бывалый смузихлёб (?), 09:22 , 27-Окт-22, (301) +1
В очередной раз упомяну пророческое из 2007 года ---Сообщество было живо, когда , Michael Shigorin (ok), 22:28 , 27-Окт-22, (366) +1

А потом всех трудоустроили, а кому-то еще и проплатили за то, чтобы СПО никогда , Аноним (106), 02:16 , 28-Окт-22, (376) –1

Зато хватает времени стругать версии каждый месяц прям парадокс , Аноним (374), 19:41 , 29-Окт-22, (423)

Не предложил, а почти поставил перед фактом Сообщил Вернее устами Ленарта, Аноним (110), 13:02 , 26-Окт-22, (110) +1

Нравится не нравится - терпи, моя красавица SystemD уже вставлен же , myhand (ok), 13:26 , 26-Окт-22, (126)

SysVinit на Slackware, OpenRC на Artix Что такое systemd , fprintf (ok), 18:01 , 26-Окт-22, (221)

В Slackware нет SysVinit , Moebius (ok), 19:00 , 26-Окт-22, (242) +1

BSD-шная система инициализации на Слаквари Но нет СыстемДы , Янис (?), 08:46 , 27-Окт-22, (295) +1

e2k-alt-linux, sysvinit -P, Michael Shigorin (ok), 22:31 , 27-Окт-22, (367)

Что там с производством ещё одного экземпляра процессора Ничего А в Зеленограде, Аноним (377), 07:16 , 28-Окт-22, (377)
Вы хвастаетесь процессором конторый больше никогда выпускать не будут Прохвастай, Аноним (377), 07:23 , 28-Окт-22, (378)

Ну и как это предлагается преодолевать-то , warlock66613 (ok), 13:05 , 26-Окт-22, (111)

EFI_stub и без Поттеринга придумали В LUKS еще просто все шифруется , Аноним (-), 13:33 , 26-Окт-22, (129)

Почему systemd еще не переписывают на раст Уважаемые растаманы, помогите проект, Аноним (143), 14:07 , 26-Окт-22, (143) +6

Отличная идея Может они соединятся и аннигилируют , Максим (??), 15:17 , 26-Окт-22, (177) +5
Специально поднялся поаплодировать -D, Michael Shigorin (ok), 22:32 , 27-Окт-22, (368)

Дело хорошее Пару лет назад пытался собрать систему с разблокировкой LUKS по TP, Шаттлврот (?), 14:12 , 26-Окт-22, (145) +2

Раньше с clevis-ом в лучшем случае да, была засада Сейчас с systemd-cryptsetu, Аноним (86), 17:02 , 26-Окт-22, (205) +1
Проблема тут не в технологиях, а в том что караван идет, а эти ребята осталисьза, Аноним (161), 14:30 , 26-Окт-22, (161)

А как оно будет работать на Арчах При обновлении через пакман будут прилетать н, Аноним (162), 14:37 , 26-Окт-22, (163)

На Арче всё всегда будет только так, как ты настроил И никак иначе , Аноним (215), 16:32 , 26-Окт-22, (190) +2
Арчу бы сперва от сыстемДы избавиться не помешало бы, Янис (?), 08:44 , 27-Окт-22, (294) +1

Линус, для чего ты повзолил Микрософту присоединиться к разработке ядра , Янис (?), 14:46 , 26-Окт-22, (165) +2

Линукс скатился Сначала 486 выпили, теперь вот это, Аноним (152), 18:10 , 26-Окт-22, (228)

Вот почему не стоить использовать дистры с SystemD Леня в тихаря делает благое , Янис (?), 14:49 , 26-Окт-22, (167) +1

Странная опечатка в слове винду , пох. (?), 16:54 , 27-Окт-22, (346) +1

Не, винду в рифму Пусть те индусы сами из неё линукс делают Посмотрел тут ка, Michael Shigorin (ok), 22:37 , 27-Окт-22, (369)

эти Unattended-Upgrade Automatic-Reboot false Unattended-Upgrade Automa, пох. (?), 10:58 , 28-Окт-22, (385)

me вспомнил как у половины планеты оказалась на компе десятка - конечно, их 20 , InuYasha (??), 16:24 , 17-Ноя-22, (438)

Весело у вас тут Еще OpenSUSE отправил на свалку как они перешли на системду Хо, Аноним (169), 14:54 , 26-Окт-22, (169) +3

http altlinux org starterkits , Michael Shigorin (ok), 22:40 , 27-Окт-22, (370) –1

Читайте об этом в новой части книги Леннарт Поттеринг и верифицированная загруз, Ассемблер (?), 15:33 , 26-Окт-22, (184) +2
Леннарт Поттеринг Lennart Poettering опубликовал предложение по переименованию, Аноним (185), 15:59 , 26-Окт-22, (185)
Какой корпоративный бред Попахивает душными безопасниками, которые не умеют ни , Golangdev (?), 16:10 , 26-Окт-22, (186) +4
Капец Диверсант жив Гадит сидя в оффисе Майкрософта Я в шоке История повторя, Аноним (187), 16:10 , 26-Окт-22, (187) +3
Как же хорошо, что во FreeBSD нет Поттерингов и сыстэмДИ, Аноним (203), 16:54 , 26-Окт-22, (203) +2

Послушай выступление The Tragedy of systemd от Benno Rice на YouTube, к пример, fprintf (ok), 17:59 , 26-Окт-22, (219)

Benno Rice не прав Трагедия всех ОС БЗД в том, что они пермиссивно-разрешильные, Аноним (237), 18:30 , 26-Окт-22, (237)

GNU GPL это открытость, а BSD истинная свобода, Аноним (203), 19:02 , 26-Окт-22, (244) +1

истинная свобода это рутрекер и дизасм, остальное пропаганда копирастов, Аноним (274), 23:12 , 26-Окт-22, (275) –1

Да вот только оно непригодно для чего-то большего чем терминал по ссш , Аноним (304), 10:37 , 27-Окт-22, (304) –1

Что именно непригодно и для чего , Аноним (333), 15:12 , 27-Окт-22, (333)
Ну да, WSB под вендочку не завезли, поэтому современные пингвинятки не могут пон, Аноним (-), 22:06 , 27-Окт-22, (357)

Ахаха, образ Линукса в виде майкросрфтовского экзешника , Аноним (222), 18:01 , 26-Окт-22, (222) +3

А что в этом смешного , Аноним (152), 18:08 , 26-Окт-22, (226) +1

Да тут уже не до смеха , microsoft (?), 20:09 , 26-Окт-22, (257) +2

Ядро уже очень давно можно собрать в виде PE образа для UEFI и загрузить напряму, Аноним (377), 20:20 , 26-Окт-22, (261) –1

Можно и на Стрекозу По-моему, не так хардкорно будет , Аноним (313), 11:27 , 27-Окт-22, (310)

Ну как сквозь слёзы, но на хи-хи , да , Michael Shigorin (ok), 22:40 , 27-Окт-22, (371)

Там не exe-шник в привычным понимании из-под винды ты его не запустишь Исполь, Аноним (86), 12:52 , 27-Окт-22, (328)

Форматом исполняемых файлов должен быть только Эльф , Аноним (343), 16:45 , 27-Окт-22, (343)
Гм, а FAT32 почему именно стандартизован , Michael Shigorin (ok), 22:41 , 27-Окт-22, (372)

Он самый простой из всех файловых систем, которые везде читаются Но по мне так , Lex20 (ok), 11:12 , 28-Окт-22, (387)

MBR настолько проще, что более 10-ти лет назад ВинДОС захватили буткиты https , n00by (ok), 11:57 , 28-Окт-22, (394)

Ну если сложнее делают чтобы заботиться о запускаемых мной программах, то я , Lex20 (ok), 15:14 , 28-Окт-22, (395)

Руткит никак не проявляет себя в системе Это его задача, скрыть присутствие Та, n00by (ok), 07:09 , 29-Окт-22, (405)

Меня то недолюбленная грудастая красотка с кучей денег не позовёт комп чинить ес, Lex20 (ok), 08:47 , 29-Окт-22, (407) +1

Альфонс, готовый за мзду малую подставить ближнего Не стоит так шутить , n00by (ok), 07:27 , 31-Окт-22, (427)

Так блин, что мешает игнорировать бутсектор-то Но надо сказать MBR - редкостное , Онаним. (?), 21:06 , 28-Окт-22, (400)

Так EFI как раз и игнорирует бутсектор И проверяет подпись запускаемого образа , n00by (ok), 06:55 , 29-Окт-22, (404)
Зачем вам вообще разделы Я себе 2 физических диска в писюк поставил, теперь мест, Lex20 (ok), 08:35 , 29-Окт-22, (406)

Окей Нет у нас больше разделов Ставим один диск под EFI, придётся поискать гиг, Онаним. (?), 09:39 , 29-Окт-22, (408)
Fixed, Онаним. (?), 09:50 , 29-Окт-22, (410)
Дальше Нужен дуалбут Будем ещё дисков ставить , Онаним. (?), 09:52 , 29-Окт-22, (411)

Короче необходимость разделов вам кто-то навязал, как я понял Мол раз придумано, Lex20 (ok), 14:04 , 29-Окт-22, (416)

Просто мои потребности чуть превышают уровень печатной машинки , Онаним. (?), 14:40 , 29-Окт-22, (417)

Почему не запущу Поставлю тип исполняемого win32 приложения, докину обёртку для, Lex20 (ok), 11:11 , 28-Окт-22, (386)
Там для 64 битных загрузчиков формат вызова процедур называется ms_abi, вот тут , Lex20 (ok), 11:17 , 28-Окт-22, (388)

Там EFI по ходу на загрузчике, не Если да, то естественно ms_abi , Онаним. (?), 10:00 , 29-Окт-22, (412)

вопрос ради вопроса, всё очевидно, речь про EFI , Онаним. (?), 10:00 , 29-Окт-22, (413)
Не, суть в том что ms от microsoft сокращение, Lex20 (ok), 14:01 , 29-Окт-22, (415)

Ну так EFI MS , Онаним. (?), 14:40 , 29-Окт-22, (418)

Скрыто модератором, Kuromi (ok), 18:34 , 26-Окт-22, (239) +6
Лёнь, у тебя там новая версия svchost exe недописана Не отвлекайся , Moebius (ok), 19:01 , 26-Окт-22, (243) +2

Ээ, на Rust не переписана ещё , Аноним (280), 00:04 , 27-Окт-22, (282) +1

Аноним никогда не бывает довольным D, Анонимыч (?), 19:07 , 26-Окт-22, (246)
Прочитал портянку Кроме двух упоминаний о LUKS2 так не понял надёжно ли сейчас, Аноним (256), 20:07 , 26-Окт-22, (256)
Он же в Microsoft ушёл, вот пусть для Шindoшs и предлагает теперь, Linux тут при, BrainFucker (ok), 20:58 , 26-Окт-22, (270) +1

Azure, WSL, CBL-Mariner Там 100 целые отделы на Линуксе сидят , randomize (?), 11:28 , 27-Окт-22, (311)

Ты его не понял Он говорит А нафига нам прогибаться под маздай Azure, WSL,, Аноним (-), 12:18 , 27-Окт-22, (317) +2

Уже на UKI с загрузкой из UEFI прощай Grub2 Удобно Но, вся эта фигня с верифи, lucentcode (ok), 23:57 , 26-Окт-22, (281)

UKI не исключает grub Последний всё равно нужен, потому что удобного управления, Аноним (86), 12:55 , 27-Окт-22, (329)

С одного фланга на пингвинятку маньяки rustоманы напали, с другого засланцы от к, КриптоАнонимус (?), 04:13 , 27-Окт-22, (287) +6

Нет никакого смысла развивать поделие троечника Трольвадса Даже Миникс ближе к , Аноним (403), 02:13 , 29-Окт-22, (403) –1

Интересно почитать оригинал, от куда была взята эта новость Может Поттеринг это, Янис (?), 07:52 , 27-Окт-22, (289) +1

Ты правильно говоришь они пилят свой дистр cbl-mariner Но ты не сказал главного, Аноним (308), 11:09 , 27-Окт-22, (308) +1

Да нормальная мысль, фиг ли Ничего нового, всё уже 100500 раз обсосано, и даже , Онаним. (?), 08:14 , 27-Окт-22, (290) –4
systemd-purchase, Аноним (106), 11:15 , 27-Окт-22, (309) +2
А потом опять окажется недетерминированный результат , Аноним (314), 11:39 , 27-Окт-22, (314)
Придумал то, что я делал 5 лет назад для загрузки с LUKS раздела через EFI Stub , Full Master (?), 11:49 , 27-Окт-22, (315)

Тут речь про то, чтобы стандартизировать на уровне разных дистрибутивов этот мех, Аноним (86), 12:57 , 27-Окт-22, (330)

Что то я не понимаю, а если у меня на стадии загрузки с модулем проблема Или мне, Анончик (?), 01:42 , 28-Окт-22, (375) +2
EEE в действии , Аноним (384), 10:35 , 28-Окт-22, (384)
Какая прелесть теперь можно вшивать анальные зонды в линукс, без страха быть об, zeroc0der (?), 11:46 , 28-Окт-22, (393) +1
Говорим о безопасности, а думаем о монополизации рынка Так называемая верифицир, Анонимный (ok), 17:53 , 28-Окт-22, (397) +5

Платный контент Как сделать, чтобы не мог без трат денег использовать компьютер, А (??), 18:40 , 30-Окт-22, (426)

Тот, кто жертвует свободой в обмен на безопасность, в итоге теряет и то, и друго, Аноним (403), 02:11 , 29-Окт-22, (402) +5

Так тебя ж никто не заставляет шкурбут включать Оно и без шкурбута загрузится , Онаним. (?), 09:41 , 29-Окт-22, (409) –4

А тебя не кто не заставляет работать, зачем работаешь , Аноним (424), 20:22 , 29-Окт-22, (424) +1

не на безопасность а на удобство, Serg (??), 09:07 , 01-Ноя-22, (428)

Сообщения [Сортировка по времени | RSS]

1. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +34 +/–

Сообщение от RedHat Support (?), 26-Окт-22, 10:42

LinuxD на шаг ближе?

Ответить | Правка | Наверх | Cообщить модератору

6. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +91 +/–

Сообщение от Аноним (6), 26-Окт-22, 10:46

Поттеринг был ниспослан линуксойда за их →ГРЕХИ←

Ответить | Правка | Наверх | Cообщить модератору

374. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (374), 27-Окт-22, 23:27

"Сотрудник Микрософта предложил..."
...сотруднику Микрософта ещё не предложили пойти куда подальше?

Ответить | Правка | Наверх | Cообщить модератору

419. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Анониим Ноним (?), 29-Окт-22, 18:29

Они потом возвращаются. Увы.

Ответить | Правка | Наверх | Cообщить модератору

421. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от shardddin (?), 29-Окт-22, 19:24

Это за какие еще??

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

431. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (431), 05-Ноя-22, 18:29

За несоблюдение прописанного в учебнике по Integrity!
Помните и не забывайте истинные правила Integrity: https://www.linux.org.ru/forum/security/16550382?cid=16564526 а то вставят вам в UEFI ключи от M$ а в Intel Boot Guard ключ от производителя!
Все уже давно реализовано и работает: https://www.linux.org.ru/forum/security/16550382?cid=16567177 по этому и сказали леньке фас, чтобы похерил.
Сделано уже есть все очень хорошо:
В Intel Boot Guard можно ключ прописать только если мамка с пройти соеденина. Следовательно если проц и маску покупать отдельно, то пользователей всегда сможет установить свой ключ Intel Boot Guard.
Цифровая подпись Intel Boot Guard ставится на каждый модуль UEFI отдельно и если удалить один модуль, то на проверку подписи других это не повлияет. Следовательно mecleaner работает и часть IntelME можно удалить даже при сертифицированы загрузки.
Libreboot и Coreboot работают с подписями хорошо. Выбирайте железо с их поддержкой. Или производителей которые разрешают удалять предустановленнын ключи и устанавливать свои: https://habr.com/en/post/273497
И вантуз тоже своим ключом подписываем: https://www.linux.org.ru/forum/admin/15742224?cid=15742698

Ответить | Правка | Наверх | Cообщить модератору

433. "FIX вражеского спелчекера." +/–

Сообщение от Аноним (431), 05-Ноя-22, 18:40

За несоблюдение прописанного в учебнике по Integrity.
Помните и не забывайте истинные правила Integrity: https://www.linux.org.ru/forum/security/16550382?cid=16564526 а то вставят вам в UEFI ключи от M$ а в Intel Boot Guard ключ от производителя!
Все уже давно реализовано и работает: https://www.linux.org.ru/forum/security/16550382?cid=16567177 по этому и сказали леньке фас, чтобы похерить.
Сделано уже есть все очень хорошо:
В Intel Boot Guard можно ключ прописать только если мамка с процом соеденина. Следовательно если проц и мамку покупать отдельно, то пользователь всегда сможет установить свой ключ Intel Boot Guard! А если в месте, то надо предварительно уточнять у производителя, что он там наделал.
Цифровая подпись Intel Boot Guard ставится на каждый модуль UEFI отдельно и если удалить один модуль, то на проверку подписи других это не повлияет. Следовательно mecleaner работает и часть Intel ME можно удалить даже при верифицтрованной загрузке!
Libreboot и Coreboot работают с подписями хорошо. Выбирайте железо с их поддержкой. Или хотя бы производителей которые разрешают удалять предустановленнын ключи и устанавливать свои: https://habr.com/en/post/273497
И вантуз тоже своим ключом подписываем: https://www.linux.org.ru/forum/admin/15742224?cid=15742698

Ответить | Правка | Наверх | Cообщить модератору

432. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (431), 05-Ноя-22, 18:31

Ничего личного, такой стиль бизнеса в M$.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

46. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (46), 26-Окт-22, 11:35

НУ вам виднее

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +32 +/–

Сообщение от Аноним (2), 26-Окт-22, 10:43

Выдирать с мясом это вот всё потом, в будущем, будет очень неприятно.

Ответить | Правка | Наверх | Cообщить модератору

27. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –13 +/–

Сообщение от Шарп (ok), 26-Окт-22, 11:01

Маняфантазии. Systemd уже победили?
>всё потом, в будущем
Бог накажет, накажет!!!111

Ответить | Правка | Наверх | Cообщить модератору

131. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –6 +/–

Сообщение от лютый жабби.... (?), 26-Окт-22, 13:40

>Systemd уже победили?
ну в моем дистрибе системГ нет и не было, причём дистриб конфетка - даже лучше арча

Ответить | Правка | Наверх | Cообщить модератору

159. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +10 +/–

Сообщение от муу (?), 26-Окт-22, 14:28

не ври, в винде системд уже есть

Ответить | Правка | Наверх | Cообщить модератору

227. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (227), 26-Окт-22, 18:09

Винда не самый лучший дистриб, далеко не лучший.

Ответить | Правка | Наверх | Cообщить модератору

379. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от AxaRu (?), 28-Окт-22, 07:32

Да что же ты такое несешь?

Ответить | Правка | Наверх | Cообщить модератору

267. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (267), 26-Окт-22, 20:49

Artix?

Ответить | Правка | К родителю #131 | Наверх | Cообщить модератору

339. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от x230 (ok), 27-Окт-22, 16:27

Artix еще нестабилен.
Юзал его плазменную версию два года. Многовато глюков...
Перешёл на Calculate (Plasma) вначале октября. Полёт нормальный!..

Ответить | Правка | Наверх | Cообщить модератору

422. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от shardddin (?), 29-Окт-22, 19:25

А точнее можно? Что за дистр?

Ответить | Правка | К родителю #131 | Наверх | Cообщить модератору

160. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +8 +/–

Сообщение от Аноним (160), 26-Окт-22, 14:29

Скоро опеннет эксперты-программисты собирутся и сделают свой линукс. Без systemd, pulseaudio, wayland, rust и прочего блоата.
"Маняфантазии" тут только у тех кто не верит в экспертизу опеннет.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

196. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (196), 26-Окт-22, 16:42

нахрен это моно-полублоатварь нужна
лучше взяться допиливать гайку

Ответить | Правка | Наверх | Cообщить модератору

200. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (200), 26-Окт-22, 16:48

Гайкой пусть занимаются латентные проприетарщики. Думаешь мы не знаем, что программисты Гайки раньше пилили БеОС.

Ответить | Правка | Наверх | Cообщить модератору

207. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (196), 26-Окт-22, 17:08

какая хрен разница, сейчас всё открыто
или тут какие-то сектанские убеждения имеют место быть?..

Ответить | Правка | Наверх | Cообщить модератору

268. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (267), 26-Окт-22, 20:52

Где брать дрова для гайки?

Ответить | Правка | К родителю #196 | Наверх | Cообщить модератору

277. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (277), 26-Окт-22, 23:30

Что, опять невидия не заводится?

Ответить | Правка | Наверх | Cообщить модератору

213. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (-), 26-Окт-22, 17:18

Зачем собираться, уже сделали. Только вас мы не позавем.

Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

245. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Анонимыч (?), 26-Окт-22, 19:05

Откатится можно в хрен знает какой год и там это уже все есть или наоборот отсутствует.

Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

349. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (349), 27-Окт-22, 18:41

> Без systemd, pulseaudio, wayland, rust и прочего блоата
И без питона, разумеется. В каждую вторую новость о питоне столько анонимных хейтеров набегает же :)

Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

215. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от Аноним (215), 26-Окт-22, 17:21

Не гневи Бога. Один линуксоид как-то пожелал одной зазнавшейся корпорашке, чтоб они в аду горели. И что, думаешь, случилось? Новые карточки Невидии плавятся и горят!

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

225. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (227), 26-Окт-22, 18:07

А у Мелкосаксов что может случиться, GitHub ляжет?

Ответить | Правка | Наверх | Cообщить модератору

380. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от AxaRu (?), 28-Окт-22, 07:34

Сейчас правильно их называть Мелкосатанисты.

Ответить | Правка | Наверх | Cообщить модератору

260. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (260), 26-Окт-22, 20:19

Так никто выдирать и не будет. Просто перепишут с нуля, на нормальном языке.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

283. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (283), 27-Окт-22, 00:13

>>перепишут с нуля, на нормальном языке.
Неужто на RUSTe?

Ответить | Правка | Наверх | Cообщить модератору

313. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (313), 27-Окт-22, 11:35

Читать не умеешь? Сказано же, на НОРМАЛЬНОМ.

Ответить | Правка | Наверх | Cообщить модератору

332. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (332), 27-Окт-22, 14:40

Нармаааальныыыый!

Ответить | Правка | Наверх | Cообщить модератору

351. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 21:50

Лет двадцать назад Витус в RU.LINUX высказался в духе "возможно, мы создадим такую клетку, которую не сможем сломать изнутри сами".
Почему-то вспоминаю при виде таких новостей.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

434. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (431), 05-Ноя-22, 18:58

1. Правильная реализация: https://www.opennet.ru/openforum/vsluhforumID3/128763.html#433
2. Клетки которые предлагают Лёня и Миша с ALT имеют дыру в дизайне! И речь идёт не о наличии сторонних ключей от M$ & ALT в системе Integrity.
3. IMA/EVM от IBM этой дыры не имеет. Потому что они читают, понимают и соблюдают стандарты.
Переведи на русский язык:
"2.1.3.1.1 System Architecture
The TCB shall maintain a domain for its own execution protects it from external interference or tampering (e.g., by modification of its code or data strucutres)."

Ответить | Правка | Наверх | Cообщить модератору

439. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от InuYasha (??), 17-Ноя-22, 16:27

это не о TPM+SecureBoot+selinux? :)

Ответить | Правка | К родителю #351 | Наверх | Cообщить модератору

3. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +52 +/–

Сообщение от Аноним (3), 26-Окт-22, 10:43

казачок из Microsoft предложил новую архитектуру верифицированной загрузки Linux...

Ответить | Правка | Наверх | Cообщить модератору

118. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –11 +/–

Сообщение от Шарп (ok), 26-Окт-22, 13:20

Почему не считаешь его linux-казачком, которого заслали в винду?

Ответить | Правка | Наверх | Cообщить модератору

164. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +8 +/–

Сообщение от n00by (ok), 26-Окт-22, 14:45

Потому что подписями заведует Микрософт.

Ответить | Правка | Наверх | Cообщить модератору

209. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (196), 26-Окт-22, 17:09

тебе не надоело писать глупости?

Ответить | Правка | К родителю #118 | Наверх | Cообщить модератору

398. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от ____ (?), 28-Окт-22, 18:01

Куда бы его не послали, он везде будет "засланным" т.к. по сути своей тyпaк и ничего более. Сабж способен развалить всё, что угодно до чего ручищами своими дотянется и засрать всем мозги своим "вы не понимаете". Ждём лютых перемен в венде и вендeкaпец в качестве следствия. Отправился к виндовозам - весь православный мир перекрестился:) Туда ему и дорога.

Ответить | Правка | К родителю #118 | Наверх | Cообщить модератору

420. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Анониим Ноним (?), 29-Окт-22, 18:34

> Почему не считаешь его linux-казачком, которого заслали в винду?
Лялиху в Окне ничего не надо. А вот у Окна беспокойство, что у Лялиха под крылом стало достаточно хорошо чтобы Окна можно больше не открывать.
Потому - смотри кому выгодно, кого беспокоит.

Ответить | Правка | К родителю #118 | Наверх | Cообщить модератору

137. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от КО (?), 26-Окт-22, 13:53

Ты чего Какноникал и Сусей до сих пор не восхваляешь?
Ща красная шляпка и федорка подтянутся и будет у нас Serious Business.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +9 +/–

Сообщение от DEF (?), 26-Окт-22, 10:43

Горшочек, не вари!

Ответить | Правка | Наверх | Cообщить модератору

5. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +24 +/–

Сообщение от Аноним (5), 26-Окт-22, 10:45

Чувак из майкрософта предлагает сделать уефи продвигаемую мелкософтом рабочей(сейчас она в статусе "костыль"). Как будто бы под благим предлогом, но что-то мне подсказывает что от этого будет больше проблем чем пользы.

Ответить | Правка | Наверх | Cообщить модератору

7. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (5), 26-Окт-22, 10:47

Особенно
>Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом.
>Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.

Ответить | Правка | Наверх | Cообщить модератору

64. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (64), 26-Окт-22, 11:56

Он ничего нового не предлагает, EFISTUB уже существует. Разница по сути только в том, чтобы формализовать это, сделав стандартным форматом ядра

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

396. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (396), 28-Окт-22, 16:19

Учитывая то, что это всё и так уже есть, только работает на костылях, предложение в принципе норм.
Другое дело, что лучше бы это все выкинуть вообще

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (8), 26-Окт-22, 10:47

> Отсутствие верификации initrd в традиционных дистрибутивах создаёт проблемы с безопасностью, так как среди прочего в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
Luks ведь не использует initrd

Ответить | Правка | Наверх | Cообщить модератору

11. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +4 +/–

Сообщение от Аноним (-), 26-Окт-22, 10:49

Будет вынужден использовать.

Ответить | Правка | Наверх | Cообщить модератору

152. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (152), 26-Окт-22, 14:18

Зачем?

Ответить | Правка | Наверх | Cообщить модератору

238. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (238), 26-Окт-22, 18:33

Это ж Лёня - великий логик и конструктор...
Ответ - потому что

Ответить | Правка | Наверх | Cообщить модератору

86. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (86), 26-Окт-22, 12:34

Ты можешь в initramfs автоматически расшифровывать luks-тома, проверяя по дороге конфигурацию системы (можешь глянуть в man systemd-cryptenroll в таблице Well-known PCR Definitions, какие системные компоненты проверяются на неизменность).
Проблема в том, что сейчас область проверки сам initramfs не входит.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

10. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +19 +/–

Сообщение от Аноним (-), 26-Окт-22, 10:49

Казалось бы почему бы не облегчить использование пользователем своих ключей? И Но нет, все это делается в конечном итоге не для безопасности пользователя, а для безопасности ОТ владельца. Почти всегда владельцы-пользователи отключают Secure Boot и TPM, так как это дико неудобно. И не только в Linux.

Ответить | Правка | Наверх | Cообщить модератору

93. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +4 +/–

Сообщение от Аноним (86), 26-Окт-22, 12:38

Так в использовании своих ключей особых сложностей и нет. Просто обычно никто даже минимально заморачиваться не хочет.

Ответить | Правка | Наверх | Cообщить модератору

168. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от n00by (ok), 26-Окт-22, 14:52

> Так в использовании своих ключей особых сложностей и нет.
То есть можно написать скрипт из нескольких команд, собрать его в пакетик, жалательно немного доработать инсталлятор. И вопрос решён на уровне дистрибутива. Правильно?
> Просто обычно никто
> даже минимально заморачиваться не хочет.
Угу. РедХат ведь не сделала это за майнтайнеров, значит виноваты пользователи. :)

Ответить | Правка | Наверх | Cообщить модератору

195. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (86), 26-Окт-22, 16:40

> То есть можно написать скрипт из нескольких команд, собрать его в пакетик, жалательно немного доработать инсталлятор. И вопрос решён на уровне дистрибутива. Правильно?
Да. Вот несложный скрипт, генерящий ключи https://www.rodsbooks.com/efi-bootloaders/mkkeys.sh
Нужно сгенерить ключи, перезагрузиться в BIOS, переключить там режим SB в user mode, загрузиться обратно в систему, вызвать sbkeysync из пакета sbsigntools (если соответствующие EFI-переменные всё еще будут защищены от записи, то надо будет скопировать ключи на ESP, еще раз перезагрузиться, запустив KeyTool.efi из efitools, и за-enroll-ить KEK, db и dbx ключи вручную). Подписывать ядра и загрузчики можно командой sbsign из того же пакета.
С systemd ядра можно подписывать автоматически, кинув в /etc/kernel/install.d/ скрипт примерно такого вида
$ cat /etc/kernel/install.d/90-kernel-sign.install
COMMAND="$1"
case "$COMMAND" in
        add) sbsign --cert /etc/secureboot/keys/local.crt --key /etc/secureboot/keys/local.key --output "/boot/vmlinuz-${2}" "/lib/modules/${2}/vmlinuz" ;;
        *) ;;
esac
Если хочешь UKI, описываемый в статье, то сначала склей его через стандартный objcopy из binutils, а затем уже подписывай.
Все это несложно интегрировать в дистрибутивы, было бы желание. Если у тебя оно есть, то предложи своему любимому дистрибутиву помощь.

Ответить | Правка | Наверх | Cообщить модератору

252. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от ivan_erohin (?), 26-Окт-22, 19:51

> сгенерить ключи, перезагрузиться в BIOS, переключить там режим SB в user mode, загрузиться
> обратно в систему, вызвать sbkeysync из пакета sbsigntools
как вы считаете, вирус типа "шифровальщик" (или его оператор) смогут сделать это все вместо легитимного пользователя ?
вводные такие: локальный юзер взят на удаленное управление, привилегии подняты до уровня "локальный root" или "локальный Administrator" через пока неизвестный 0day.

Ответить | Правка | Наверх | Cообщить модератору

291. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 27-Окт-22, 08:36

Попробуйте выполнить systemctl reboot --firmware-setup без прав рута. Работает? А дальше то что будет делать оператор? Куда интереснее варианты с централизованной подписью и ключами для LUKS в TPM, что и предлагается.

Ответить | Правка | Наверх | Cообщить модератору

306. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (86), 27-Окт-22, 10:53

Прописать свои ключи - нет. Но если есть локальный рут, то малварь и так может делать всё, что захочет. В случае secure boot будет, конечно, ограничен доступ к системным интерфейсам из юзерспейса (msr регистры, порты ввода-вывода и т.п.), т.к. linux-ядро при включенном секурбуте автоматически активирует lockdown, но это всё уже неважно, т.к. самое ценное в системе - это всё равно пользовательские данные и вычислительные ресурсы, а с рутом доступ до всего этого есть. Ну и, если ключи для подписи хранить локально (а не на HSM), то тогда, разумеется, зловред и lockdown обойдет, загрузив свой подписанный модуль ядра.
Но, вообще, основной вектор атаки, от которого должен защищать SB - это evil maid, т.е. от атакующего с локальным доступом к системе. Если система взломана удаленно (да еще и с получением рута), то к процессу загрузки это имеет уже слабое отношение, а значит и обеспечение безопасности загрузки никак не поможет.

Ответить | Правка | К родителю #252 | Наверх | Cообщить модератору

292. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от n00by (ok), 27-Окт-22, 08:39

Спасибо. То есть тут основная сложность - объяснить пользователю, что нажать в биосе. Кому это действительно надо, тот нажмёт или попросит специалиста. Вот мне и не понятно, почему в дистрибутивах нет штатных инструментов, если они так беспокоятся о пользователях, что потребовалась аж инициатива Леннарта.

Ответить | Правка | К родителю #195 | Наверх | Cообщить модератору

307. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 10:56

Думаю, потому что делают механизм, работающий из коробки, рассчитанный на массового неквалифицированного пользователя.
Квалифицированные пользователи при наличии желания и так себе всё настроят, тем более, что там ничего сложного нет. А если желание есть, но настроить не получается, то, видимо, пользователь неквалифицированный и см. п. 1.

Ответить | Правка | Наверх | Cообщить модератору

318. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 27-Окт-22, 12:22

В вышеприведённом скрипте есть сложность - он непонятен пользователю. Инструкции, которые надо сначала найти, опять непонятны пользователю. Если же инструкции «нажмите в биосе вот эту кнопку» покажет установщик системы - это квалифицированному пользователю понятно. Если кто-то сам нашёл скрипт, это уже не пользователь, это уже уровень майнтайнера дистрибутива. :)

Ответить | Правка | Наверх | Cообщить модератору

337. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 16:12

> В вышеприведённом скрипте есть сложность - он непонятен пользователю
В том скрипте особо ничего понимать и не требуется, он просто генерирует все необходимые ключи в текущем каталоге. Ну и, если он непонятен пользователю, то он определенно неквалифицированный: серьезно, назвать себя квалифицированным пользователем Linux и не знать основы shell-скриптинга?
Можно их, кстати, еще проще сгенерировать командой https://github.com/Foxboron/sbctl. Они их еще и сразу в нужный каталог поместит.
> Если же инструкции «нажмите в биосе вот эту кнопку» покажет установщик системы
Биосы разные, и их функциональность тоже: какие-то в user mode открывают переменные с ключаси на запись из ОС, какие-то нет. Какие-то сразу имеют UI для управления ключами в setup, а для каких-то нужно запускать keytool.efi. Какие-то при включении user mode сбрасывают хранилище ключей в ноль, а какие-то просто дают в него писать (тем или иным упомянутым ранее способом).
В общем, API-то у UEFI унифицированный, а вот пользовательский интерфейс и особенности реализации - нет. Потому простой инструкции для якобы "квалифицированных" пользоватей, которые не могут понять скрипт из десятка строк, нет и в ближайшее время не предвидится.

Ответить | Правка | Наверх | Cообщить модератору

389. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 28-Окт-22, 11:18

>> В вышеприведённом скрипте есть сложность - он непонятен пользователю
> В том скрипте особо ничего понимать и не требуется, он просто генерирует
> все необходимые ключи в текущем каталоге.
Это проблема не понимания, а, скорее, психологического плана. Пользователь использует продукт и делает это в рамках руководства по эксплуатации.
> Ну и, если он непонятен
> пользователю, то он определенно неквалифицированный: серьезно, назвать себя квалифицированным
> пользователем Linux и не знать основы shell-скриптинга?
Создаёт ли интерпретатор новый инстанс, когда исполняет команду eval? Вот это, как я понимаю, основы shell-скриптинга. Я их не знаю, мне это не надо.
> Можно их, кстати, еще проще сгенерировать командой https://github.com/Foxboron/sbctl.
> Они их еще и сразу в нужный каталог поместит.
>> Если же инструкции «нажмите в биосе вот эту кнопку» покажет установщик системы
> Биосы разные, и их функциональность тоже: какие-то в user mode открывают переменные
> с ключаси на запись из ОС, какие-то нет.
На уровне дистрибутива достаточно поддерживать первые, для начала.

Ответить | Правка | Наверх | Cообщить модератору

352. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 21:57

А там нет "вот этой кнопки" -- фирмварешлёпы резвятся очень по-разному.

Ответить | Правка | К родителю #318 | Наверх | Cообщить модератору

390. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 28-Окт-22, 11:24

> А там нет "вот этой кнопки" -- фирмварешлёпы резвятся очень по-разному.
Помню, в ответ на вопрос «что можно сделать в rpm нового», написал я про обеспечение целостности системы пакетным менеджером. Прошло время, RH это реализовали (иначе - но суть не в этом). Сейчас, в общем-то, похожая ситуация. Для начала хватило бы записи ключей в user mode и пары-тройки скриншотов от биосов основных производителей материнских плат.

Ответить | Правка | Наверх | Cообщить модератору

174. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от AlexYeCu_not_logged (?), 26-Окт-22, 15:12

>Так в использовании своих ключей особых сложностей и нет. Просто обычно никто даже минимально заморачиваться не хочет.
Простые вещи не сопровождаются инструкциями, начинающимися словами «ключей понадобится сгенерировать три штуки».

Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

381. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от AxaRu (?), 28-Окт-22, 07:38

>>> Просто обычно никто даже минимально заморачиваться не хочет.
А я не понимаю какая мне дома польза от этого?

Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

12. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +9 +/–

Сообщение от Sw00p aka Jerom (?), 26-Окт-22, 10:49

переименуйте уже линукс на леннарт

Ответить | Правка | Наверх | Cообщить модератору

28. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +11 +/–

Сообщение от Аноним (227), 26-Окт-22, 11:06

Lennux

Ответить | Правка | Наверх | Cообщить модератору

53. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от Alexey (??), 26-Окт-22, 11:40

PotterOS

Ответить | Правка | Наверх | Cообщить модератору

136. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Перастерос (ok), 26-Окт-22, 13:52

LEPOLinux

Ответить | Правка | Наверх | Cообщить модератору

173. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (227), 26-Окт-22, 15:10

Ага, а репозитории с ним называть лепрозиториями.

Ответить | Правка | Наверх | Cообщить модератору

233. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Sw00p aka Jerom (?), 26-Окт-22, 18:18

> Lennux
Rosa Lennux чет не звучит :)
пс: nooby, предлагай

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

269. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (267), 26-Окт-22, 20:57

Rosie Lennox

Ответить | Правка | Наверх | Cообщить модератору

271. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Sw00p aka Jerom (?), 26-Окт-22, 21:33

> Rosie Lennox
Rosamund Lennox вооо :)

Ответить | Правка | Наверх | Cообщить модератору

293. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от n00by (ok), 27-Окт-22, 08:44

>> Lennux
> Rosa Lennux чет не звучит :)
> пс: nooby, предлагай
Роза Ленин-Люксембург же. Как раз ключи предлагают общие.

Ответить | Правка | К родителю #233 | Наверх | Cообщить модератору

214. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от microcoder (ok), 26-Окт-22, 17:20

LinLennaX

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

236. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (-), 26-Окт-22, 18:27

MSUX типа как lexus но как обычно все что от мс

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

312. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (313), 27-Окт-22, 11:33

Лёникс

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

13. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от iCat (ok), 26-Окт-22, 10:49

Winux или Lindows ?

Ответить | Правка | Наверх | Cообщить модератору

48. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +8 +/–

Сообщение от Аноним (46), 26-Окт-22, 11:36

да

Ответить | Правка | Наверх | Cообщить модератору

14. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (14), 26-Окт-22, 10:51

Вот зачем его Майки наняли на работу.

Ответить | Правка | Наверх | Cообщить модератору

107. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +18 +/–

Сообщение от Аноним (107), 26-Окт-22, 12:56

скорее, они наняли его на работу задолго до того, как наняли его на работу

Ответить | Правка | Наверх | Cообщить модератору

353. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 21:58

...не только лишь наняли...

Ответить | Правка | Наверх | Cообщить модератору

18. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +13 +/–

Сообщение от Аноним (18), 26-Окт-22, 10:52

> При этом поддержка вызова из традиционных загрузчиков позволяет сохранить такие возможности, как поставка нескольких версий ядра
следует читать как "поддержку традиционных загрузчиков предполагается сделать опциональной и в будущем отключить"
(а подписанные UKI распространять через Microsoft Store)

Ответить | Правка | Наверх | Cообщить модератору

162. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (162), 26-Окт-22, 14:35

А зачем нужны "традиционные" загрузчики, когда есть UEFI?

Ответить | Правка | Наверх | Cообщить модератору

180. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +7 +/–

Сообщение от AlexYeCu_not_logged (?), 26-Окт-22, 15:19

>А зачем нужны "традиционные" загрузчики, когда есть UEFI?
Они работают, причём без башляний MS-у.

Ответить | Правка | Наверх | Cообщить модератору

280. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (280), 26-Окт-22, 23:51

Потому что UEFI нетрадиционный

Ответить | Правка | К родителю #162 | Наверх | Cообщить модератору

354. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:01

Иллюстрация (16+): http://mjg59.dreamwidth.org/4957.html

Ответить | Правка | Наверх | Cообщить модератору

20. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (20), 26-Окт-22, 10:54

В чём он не прав?

Ответить | Правка | Наверх | Cообщить модератору

22. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +20 +/–

Сообщение от Аноним (14), 26-Окт-22, 10:57

В желании оффтопика за вендролочить и пускать на железо только проверенных производителей, которые делают то что им скажу он полностью прав. Но не всем захочется жить в концлагере. Большинству конечно же нравится жить в концлагере.

Ответить | Правка | Наверх | Cообщить модератору

61. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Sw00p aka Jerom (?), 26-Окт-22, 11:51

>В желании оффтопика за вендролочить и пускать на железо только проверенных производителей
давно уже так и линукс прогнулся, вендорам никогда ничего не мешает что-либо залочить.

Ответить | Правка | Наверх | Cообщить модератору

87. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от Аноним (87), 26-Окт-22, 12:35

Мешает. Это дорого и нет стандарта. Станет легко и появится стандарт сразу залочат.

Ответить | Правка | Наверх | Cообщить модератору

100. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Sw00p aka Jerom (?), 26-Окт-22, 12:45

сами внизу пишите, майки сами стандарты наваляют и проплатят

Ответить | Правка | Наверх | Cообщить модератору

150. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (150), 26-Окт-22, 14:15

Таков путь.

Ответить | Правка | Наверх | Cообщить модератору

355. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:02

Кирдык этому "пути".
Уже официально.
Но пусть ещё порыпаются.

Ответить | Правка | Наверх | Cообщить модератору

436. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от InuYasha (??), 17-Ноя-22, 14:39

откуда такая уверенность? я бы рад, но пока вижу сплошь обратное.

Ответить | Правка | Наверх | Cообщить модератору

66. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (64), 26-Окт-22, 11:57

Что сейчас мешает им это сделать? Он даже не предлагает чего-то, что нельзя сделать сейчас. Linux уже поддерживает такие ядра, в которые можно вклеить строку запуска и initrd для запуска как образ EFI

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

89. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (87), 26-Окт-22, 12:37

Им мешает что нет сабжа из новости. Или они должны по твоему сами за это платить за разработку и всё такое. Вендрам то в среднем пофигу. А вот майками не пофигу. Если майки как поставщик ОС попросят вендоры сделают и локнут по новому стандарту.

Ответить | Правка | Наверх | Cообщить модератору

284. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (64), 27-Окт-22, 01:10

Сабж из новости есть:
https://wiki.gentoo.org/wiki/EFI_stub
Разрабатывать ничего нового не нужно для того, можно хоть вчера вендорлокнуть

Ответить | Правка | Наверх | Cообщить модератору

183. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –3 +/–

Сообщение от Аноним (183), 26-Окт-22, 15:26

Вот именно, что большинству конечно же нравится. Нравится админам продакшн-систем - им гораздо реже придётся среди ночи в выходной вскакивать и, ломая тапки, бежать чинить. Нравится (точнее им фиолетово) пользователям поневоле, которых пересадили на линух: им по-барабану, что там внизу - главное, чтобы пахала прикладуха. Ну и кто остался-то? Истинные? Майкрософт за этим стоит? Да за этим стоят OEM и иже с ними. Включая Майкрософт. И серьёзных производителей дистрибутивов linux включая тоже. Всё как всегда очень просто - свобода свободомыслящих - это их личные проблемы.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

199. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (199), 26-Окт-22, 16:47

У Вас какие-то странные представления о том, что нужно "админам продакшн-систем".
Никто некуда не бегает, на уровне тех самых "продакшн-систем" удаленный доступ к физической консоли -- вещь вполне привычная.
И дежурный администратор всегда есть в корпоративном ЦОД, это, как минимум, глаза и руки.

Ответить | Правка | Наверх | Cообщить модератору

235. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (152), 26-Окт-22, 18:20

Звонишь в датацентр, а там час подключают вашу же ipkvm
Или ещё дольше свою, если с вашей проблема.

Ответить | Правка | Наверх | Cообщить модератору

334. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от 1 (??), 27-Окт-22, 16:05

Да ладно !
Напиши, что за датацентр, чтоб им никогда не пользоваться.
Обычно всегда к железячному серверу дают ipkvm и никто никуда не бегает (если только за древним браузером если вдруг понадобится flash).

Ответить | Правка | Наверх | Cообщить модератору

345. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от пох. (?), 27-Окт-22, 16:49

Точно-точно. Одних только курьеров тридцать пять тыщ!
(и флэш. Тонко гармонирует, да. Кстати, древний браузер не поможет.)

Ответить | Правка | Наверх | Cообщить модератору

344. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от пох. (?), 27-Окт-22, 16:47

После чего выясняется что они перепутали сервер.
Хорошо если до того как ты что-то наберешь.

Ответить | Правка | К родителю #235 | Наверх | Cообщить модератору

21. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (21), 26-Окт-22, 10:57

Возможность прикрепления конфиденциальных данных к определённым стадиям удалённой аттестации.

Ответить | Правка | Наверх | Cообщить модератору

25. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от pashev.ru (?), 26-Окт-22, 10:59

Уж лучше Эльбрус.

Ответить | Правка | Наверх | Cообщить модератору

32. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +9 +/–

Сообщение от Аноним (227), 26-Окт-22, 11:13

Майор предложит свою архитектуру верифицированной загрузки.
P.S. Это не считая того, что там закрытый lcc генерит.

Ответить | Правка | Наверх | Cообщить модератору

356. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:05

Уж не знаю, кто и в каком звании, но "Эшелон-Э" так-то давно известен. :)
Но главное -- его не пихают во все интерфейсы, в отличие от добрейших и заботливейших.
PS: есть и открытый lcc: http://github.com/ilyakurdyukov/littlecc-e2k

Ответить | Правка | Наверх | Cообщить модератору

134. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от a_kusb (ok), 26-Окт-22, 13:47

А прикольно было бы если бы после революции сделать Эльбрус лекарством против этого. Без спекулятивных дыр и функций против пользователя.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

178. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (178), 26-Окт-22, 15:17

Пользователи будут ныть ааа у меня не собирается Х, у меня тормозит Y

Ответить | Правка | Наверх | Cообщить модератору

338. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (86), 27-Окт-22, 16:14

А компилятор разве уже перестали давать только после подписывания NDA? И проприетарным он уж точно остался, в этом я на 100% уверен.

Ответить | Правка | Наверх | Cообщить модератору

359. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:10

Похоже, Вы заблуждаетесь так же, как и я пару лет назад (возможно, даже "благодаря" мне).
lcc входит в ОС Эльбрус, которой штатно комплектуются ВК Эльбрус, которые продаются _без_ NDA.

Ответить | Правка | Наверх | Cообщить модератору

358. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:09

У-уу, а я им в ответ ною: "а у меня собирается овер 85% сизифа, а у меня не тормозит". :]
Кстати, на домашнем "Эльбрус-16С" поднял первые пару виртуалок для удалённого доступа коллег; также известны стенды Игоря Молчанова в ИНЭУМ, ну и в Норси-Транс под проект можно запросить выделенный сервер для портирования и нагрузочного тестирования.

Ответить | Правка | К родителю #178 | Наверх | Cообщить модератору

29. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +15 +/–

Сообщение от YetAnotherOnanym (ok), 26-Окт-22, 11:07

Одной из основ идеологии СПО была возможность для пользователя полностью контролировать всё, что происходит на его компьютере. Если пользователь накосячил, если влез зловред и с полномочиями пользователя натворил делов - это естественная плата за свободу.
Для MS приоритетом всегда была возможность исключить вмешательство пользователя в тот функционал, который не относится к пользовательскому. Невозможность изменить то, что производитель считает не подлежащим изменению - это, по мнению MS, естественная плата за безопасность.
Теперь Лёня тащит это в Линух.

Ответить | Правка | Наверх | Cообщить модератору

62. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –2 +/–

Сообщение от Аноним (62), 26-Окт-22, 11:53

> возможность для пользователя полностью контролировать всё, что происходит на его компьютере
Ну так Леннарт и контролирует все, что происходит на его компе. А зловред контролирует всё через /tmp/.X11-unix/X0, и никакой Леннарт ему при этом не понадобился.

Ответить | Правка | Наверх | Cообщить модератору

33. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +9 +/–

Сообщение от Аноним (-), 26-Окт-22, 11:16

а я-то думаю, чего ещё осталось не поломатым в линуксе

Ответить | Правка | Наверх | Cообщить модератору

35. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (35), 26-Окт-22, 11:23

Кто-нибудь может попроще новость объяснить?

Ответить | Правка | Наверх | Cообщить модератору

39. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +7 +/–

Сообщение от Аноним (107), 26-Окт-22, 11:27

попытка запретить загрузку всего, за что не забашляли майкрософту. т.е. доделать то, для чего создавался UEFI

Ответить | Правка | Наверх | Cообщить модератору

68. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (64), 26-Окт-22, 12:00

Это уже сейчас возможно сделать тем, кому это хочется сделать, даже дополнительно ничего не надо для поддержки:
https://wiki.gentoo.org/wiki/EFI_stub

Ответить | Правка | Наверх | Cообщить модератору

171. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от n00by (ok), 26-Окт-22, 15:02

Сейчас есть нюанс: «для заверения initrd пользователю необходимо сгенерировать свои ключи и загрузить их в прошивку UEFI».
Свои ключи исключают из схемы.

Ответить | Правка | Наверх | Cообщить модератору

285. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (64), 27-Окт-22, 01:14

В топике ничего не сказано про отсутствие необходимости своих ключей.
Чтобы UKI загрузить из UEFI, его кто-то всё равно должен подписать. Архитектуру EFI никто не отменял. Кто-то - не обязательно пользователь. Если распространять ядра в репозитории уже упакованными и подписанными - получится абсолютно тоже самое, без необходимости своих ключей.

Ответить | Правка | Наверх | Cообщить модератору

286. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от HyC (?), 27-Окт-22, 03:45

Получится не то же самое. Если раньше "свой ключ" мог иметь для "того же самого" мейнтейнер, то теперь придется за ними ходить в Редмонд.
Поэтому будет подписано только то что в Редмонде разрешили. Причем сильно не бесплатно.

Ответить | Правка | Наверх | Cообщить модератору

322. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от n00by (ok), 27-Окт-22, 12:32

> В топике ничего не сказано про отсутствие необходимости своих ключей.
Я же привёл цитату со словом «не_обходимо». Это слово означает буквально, что свои ключи мешают сейчас.
> Чтобы UKI загрузить из UEFI, его кто-то всё равно должен подписать. Архитектуру
> EFI никто не отменял. Кто-то - не обязательно пользователь. Если распространять
> ядра в репозитории уже упакованными и подписанными - получится абсолютно тоже
> самое, без необходимости своих ключей.
Раньше ключи были у пользователя, а теперь у Микрософт. Не знал, что слово «абсолют» имеет такой смысл.

Ответить | Правка | К родителю #285 | Наверх | Cообщить модератору

340. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (86), 27-Окт-22, 16:36

> Раньше ключи были у пользователя, а теперь у Микрософт.
Это какие-то фантазии.
Во-первых, у microsoft изначально были свои ключи, прописанные в качестве доверенных. И все крупные linux-дистрибутивы подписывают свои SubCA в у msft-шного CA.
Во-вторых, пользовательские ключи для secure boot-а никогда не были массовым явлением (хотя подаваляющее большинство платформ их и поддерживает), 99,999% linux-пользователей либо пользовались крупными дистрибутивами, используя их загрузчики и ядра, подписанные через msft-шный PKI, и у них всё работало, либо просто отключали secure boot и в ус не дули.
Т.о. никакой ситуации "а вот раньше пользователи всегда владели ключами, а теперь ключи будут только у Майкрософта" не было. Ключи у msft всегда были, а пользователи почти никогда свои ключи для secure boot в UEFI не настраивали.
И, собственно, ничто с начала 10х годов, кроме недовольства клиентов не мешало сделать обязательным msft-шный CA без возможности отключения SB. Инициатива Леннарта сделать нормальную и недырявую поддержку защищенной загрузки в Linux-дистрах общую ситуацию никак не изменит.

Ответить | Правка | Наверх | Cообщить модератору

360. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:13

Ну так лягушку-то надо варить постепенно.
PS: если что, я автор http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Ответить | Правка | Наверх | Cообщить модератору

430. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от жявамэн (ok), 03-Ноя-22, 16:49

вот бы кто написал инструкцию как заставить работать цитрикс на альте.
не установить.
а именно заставить работать

Ответить | Правка | Наверх | Cообщить модератору

391. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 28-Окт-22, 11:35

>> Раньше ключи были у пользователя, а теперь у Микрософт.
> Это какие-то фантазии.
> Во-первых, у microsoft изначально были свои ключи, прописанные в качестве доверенных. И
> все крупные linux-дистрибутивы подписывают свои SubCA в у msft-шного CA.
Ох уж эти анонимные Microsoft Most Valuable Professional с одной булевой переменной в голове. У меня свои ключи. Дальше даже читать не вижу смысла.

Ответить | Правка | К родителю #340 | Наверх | Cообщить модератору

36. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +9 +/–

Сообщение от ыы (?), 26-Окт-22, 11:23

>формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива, что сильно усложняет
Да что эти пользователи вообще себе позволяют! Что-то там свое формируют! А людям напрягаться приходиться...

Ответить | Правка | Наверх | Cообщить модератору

42. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от llolik (ok), 26-Окт-22, 11:30

Хоть я и приветствую systemd и не испытываю особой персональной неприязни, но, Лёня б*ть, это не просто вендор-лок, это по сути проприетарная ОС на основе Линукс ядра. Ну его нахрен, такие идеи.

Ответить | Правка | Наверх | Cообщить модератору

63. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Sw00p aka Jerom (?), 26-Окт-22, 11:55

>Ну его нахрен, такие идеи
идея верификации процесса загрузки - норм с точки зрения секурности, но вопросы возникают при ее реализации.

Ответить | Правка | Наверх | Cообщить модератору

72. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от llolik (ok), 26-Окт-22, 12:07

> но вопросы возникают при ее реализации.
Ну так я и о том же. По сути, если обобщить, Лёня предлагает собрать, назовём это так, метаядро, которое будет подписано и загружаться UEFI-ем (но может и вообще содержать всё в одном образе).
Ну и на кой это надо, если получается, что пользователь в работу ОС вмешаться не может. И даже хрен-бы с ним, накатить самосборное ядро. Я уже не говорю, что это сильно обрежет возможность (если вообще не исключит) что-то исправить в случае, если в процессе загрузки что-то будет идти не так. Получится такой МакОС на линуксовом ядре, и всё.

Ответить | Правка | Наверх | Cообщить модератору

98. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 26-Окт-22, 12:43

Так крупные дистрибутивы (навскидку: убунта, федора, дебиан, suse) уже давным давно подписывают свои ядра. И ты тоже можешь подписывать, к слову.
Тут речь про то, чтобы еще и initramfs проверять на неавторизованную подмену.

Ответить | Правка | Наверх | Cообщить модератору

144. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от ryoken (ok), 26-Окт-22, 14:10

У меня первая мысль была: "и как мне gentoo с моим вручную собранным ядром заводить? Кто\чем его подписывать будет?" да и не охота мне ещё и подписанием всего возиться из-за вот таких вот инициатив.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

172. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от n00by (ok), 26-Окт-22, 15:08

Сейчас в Gentoo делается вот так https://wiki.gentoo.org/wiki/User:Sakaki/Sakaki%27s_EFI... (на деле немножко проще, т.к. ключи Микрософта сохранять не обязательно). А вот когда реализуют схему из новости, появится лишний повод отключить возможность устанавливать свои ключи.

Ответить | Правка | Наверх | Cообщить модератору

265. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (265), 26-Окт-22, 20:40

Он забыл туда воткнуть обязательно сервак верифицированной загрузки, которая в облаке может разрешить загрузку, а может и не разрешить загрузку.
А то грузят в божественную винду всякие линуксы понимаешь. А ему премии потом не видать!
А у нас в Void такого нет. Захотел - загрузился быстро.
Захотел - собрал и поставил сам ядро.
Захотел послать Леннарта в задницу - ну вы поняли мужики.

Ответить | Правка | Наверх | Cообщить модератору

361. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:14

Не, не макос.  Вообще не ОС как компонентная _система_.  Прошивка.  Appliance.  Чёрный ящик.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

45. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (45), 26-Окт-22, 11:33

Да он же троллит! Статья называется "О, дивный новый мир доверенной загрузки." Почему никто до сих пор не понял отсылки - понять не могу.
Добавьте эту информацию в новость, кому не лень.

Ответить | Правка | Наверх | Cообщить модератору

50. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –3 +/–

Сообщение от Аноним (46), 26-Окт-22, 11:38

это уже неважно, наживку местные проглотили)

Ответить | Правка | Наверх | Cообщить модератору

67. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +4 +/–

Сообщение от ilowry (?), 26-Окт-22, 11:59

Так это он окно Овертона смещает. Сначала все посмеются над идеей и над теми, кто не понял шутки, а потом и задумаются: а почему бы и нет?

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

181. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +9 +/–

Сообщение от AlexYeCu_not_logged (?), 26-Окт-22, 15:22

>Да он же троллит!
Расскажи мне кто лет 15 назад про бинарные логи в Линуксе, я б тоже подумал, что он тролль.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

47. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним1212 (?), 26-Окт-22, 11:35

Уже и до ядра хочет, лет 12 назад на лурке писал что так и будет, но не поверили аварии на
И

Ответить | Правка | Наверх | Cообщить модератору

54. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –3 +/–

Сообщение от Аноним (14), 26-Окт-22, 11:40

Ну всё LFS теперь на новом железе не запустить. Будем сидеть на своих 486. Ой так поддержку 486 тоже выпилили. Придётся идти с повинной (деньгами) в майкам.

Ответить | Правка | Наверх | Cообщить модератору

112. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –3 +/–

Сообщение от НяшМяш (ok), 26-Окт-22, 13:10

Опять белки истерички. Я буду сидеть на своём 5950Х, потому что в биосе есть возможность отключения Secure Boot. Да и в Alder Lake от конкурентов тоже можно. Кому не нравятся TPM и остальное - есть всякие Sandy Bridge и прочее старьё.

Ответить | Правка | Наверх | Cообщить модератору

148. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (150), 26-Окт-22, 14:14

Всё рады за тебя (нет).

Ответить | Правка | Наверх | Cообщить модератору

232. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (227), 26-Окт-22, 18:16

Это пока есть возможность. Coreboot, к сожалению, матери с 5950X не поддерживает.

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

279. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (277), 26-Окт-22, 23:40

Слово "Coreboot" и слова "не поддерживает" для вас означают одно и то же.

Ответить | Правка | Наверх | Cообщить модератору

326. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от НяшМяш (ok), 27-Окт-22, 12:48

Коребут хоть что-то свежее десятилетней давности поддерживает?

Ответить | Правка | К родителю #232 | Наверх | Cообщить модератору

223. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (152), 26-Окт-22, 18:06

В этом вся суть линуксоидов
Сначала хвастают непонятно чем, а потом идут в майкам

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

52. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Штунц (?), 26-Окт-22, 11:40

ВОПРОС ПРО КОМПИЛЯЦИЮ ЯДРА:
если я сам перекомпилирую ядро, будет ли возможность его запустить? Смогу ли пометить мной скомпилированное ядро как "доверенное", или придётся его предварительно загрузить на какой-нибудь сайт для верификации
(подобно тому, как раньше для установки софта на Symbian нужно было его где-то подписывать)
???

Ответить | Правка | Наверх | Cообщить модератору

56. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (14), 26-Окт-22, 11:41

Нет.

Ответить | Правка | Наверх | Cообщить модератору

57. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (14), 26-Окт-22, 11:42

Сам себе сделать доверенным, лол. Какой тогда смысл в этой проверке если каждый встречный поперечный может её обойти.

Ответить | Правка | Наверх | Cообщить модератору

65. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Sw00p aka Jerom (?), 26-Окт-22, 11:57

>каждый встречный поперечный может её обойти.
джампер перезаписи нужно переключить:)

Ответить | Правка | Наверх | Cообщить модератору

102. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (86), 26-Окт-22, 12:46

Чтобы обойти, нужно попасть в bios, введя пароль, и добавить свои ключи. При этом диск перестанет автоматически расшифровываться через tpm2, т.к. поменялась конфигурация bios-а. То же самое произойдет, если bios тупо сбросить.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

299. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Бывалый смузихлёб (?), 27-Окт-22, 09:10

Но можно ли прежде сделать диск «расшифрованным», а после - по накатанной ?

Ответить | Правка | Наверх | Cообщить модератору

320. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 12:25

Если знаешь ключ шифрования, то да. Если не знаешь, то сорян.

Ответить | Правка | Наверх | Cообщить модератору

60. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от llolik (ok), 26-Окт-22, 11:49

> если я сам перекомпилирую ядро, будет ли возможность его запустить?
Как SecureBoot в UEFI станет неотключаемым, так и не сможешь. Пока ещё, на большинстве плат SB отключаемый. Пока ещё.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

103. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 26-Окт-22, 12:47

Не только отключаемый, но еще и можно удалять ключи MSFT и вместо них записывать свои.

Ответить | Правка | Наверх | Cообщить модератору

262. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (262), 26-Окт-22, 20:24

Скажите это владельцам arm-планшетов на winrt и телефонов nokia lumia

Ответить | Правка | Наверх | Cообщить модератору

321. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (86), 27-Окт-22, 12:26

Как там в 2013?

Ответить | Правка | Наверх | Cообщить модератору

336. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от 1 (??), 27-Окт-22, 16:12

Я туда хотетЪ

Ответить | Правка | Наверх | Cообщить модератору

316. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от llolik (ok), 27-Окт-22, 11:51

> Не только отключаемый, но еще и можно удалять ключи MSFT и вместо
> них записывать свои.
В стандарте - да, но далеко не в реализациях. В ноутах, например, периодически встречаются и неотключаемые/нетривиально отключаемые и с непрошиваемыми (пользователем) ключами.

Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

341. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 16:39

В каких ноутах такое встречается?

Ответить | Правка | Наверх | Cообщить модератору

362. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:17

Не дам конкретику, но точно попадалось -- что-то из "ошибочек" сам видел, с чем-то пользователи приходили.

Ответить | Правка | Наверх | Cообщить модератору

392. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 28-Окт-22, 11:42

Вот сходу простой случай: https://wiki.archlinux.org/title/Acer_Aspire_E5-575
Но кому-то пришлось догадаться, что сначала надо задать пароль, что бы можно было отключить.

Ответить | Правка | К родителю #341 | Наверх | Cообщить модератору

73. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (73), 26-Окт-22, 12:07

Уефи позволяет (пока ещё позволяет - в стандарте прописано) добавлять свои ключи для верификации. Так что да, пока ещё можешь сам себе собрать что хочешь, подписать чем хочешь, и запускать как хочешь... Разумеется, это относится лишь к твоему личному писюку, может быть, к семейным, но к чужим писюкам, а также не-писюкам - неприменимо.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

75. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Штунц (?), 26-Окт-22, 12:20

спасибо

Ответить | Правка | Наверх | Cообщить модератору

220. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (220), 26-Окт-22, 18:00

А удалять уже предустановленные позволяет?

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

224. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (-), 26-Окт-22, 18:06

Да.

Ответить | Правка | Наверх | Cообщить модератору

259. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от ivan_erohin (?), 26-Окт-22, 20:18

> если я сам перекомпилирую ядро, будет ли возможность его запустить?
да, через kexec (если его не уберут для безопастности).
но сначала маналупа.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

323. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 12:34

kexec, вроде, уже лет 7 тоже проверяет подпись загружаемого ядра.

Ответить | Правка | Наверх | Cообщить модератору

350. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (350), 27-Окт-22, 18:53

Да запросто, подписываешь ядро своими ключами и заливаешь ключи в BIOS.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

69. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +4 +/–

Сообщение от Аноним (69), 26-Окт-22, 12:01

>Основные цели внедрения новой архитектуры загрузки:
digital restrictions management

Ответить | Правка | Наверх | Cообщить модератору

146. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от ryoken (ok), 26-Окт-22, 14:13

Как выше сказали - концлагерь.
Дайте более-менее современную железку на OpenFirmware что ли... :)

Ответить | Правка | Наверх | Cообщить модератору

363. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:20

Недавно узнал, что исходники эльбрусного бута тоже могу попросить, оказывается. :)
PS: в целом летом осознал окончательно ясно: важно даже не то, открыто-закрыто и что там "в правилах" -- а то, у кого <s>ружжо</s> контроль над проектом.
Все _декларации_ могут быть вмиг объявлены устаревшими и непригодными для очередного этапа "политической целесообразности".  Ну или не объявлены вслух, а просто теперь игнорируемы.

Ответить | Правка | Наверх | Cообщить модератору

80. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 26-Окт-22, 12:31

Давно пора уже.
Я на своих системах поудалял майкрософтские ключи, подписываю своим ключем загрузчик и ядра, сделал разблокировку luks через tpm2 и включил secure boot (всё это делается довольно легко с systemd и dracut). В итоге я доверяю только себе и производителю железа (что он нормально реализовал хранилище ключей и measurement состояния прошивок)
Но здоровенной дырой остается initramfs, который ничем не валидируется, и через подмену которого можно легко вытащить ключ шифрования для LUKS-тома.

Ответить | Правка | Наверх | Cообщить модератору

128. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от noname.htm (ok), 26-Окт-22, 13:29

При подписи своими ключами это решаемо уже сейчас: https://wiki.archlinux.org/title/Unified_kernel_image

Ответить | Правка | Наверх | Cообщить модератору

188. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (215), 26-Окт-22, 16:19

Подтверждаю. Если в системе уже используется systemd-boot и dracut, то собрать UKI - буквально один шаг сделать - добавить ключ для dracut (в pacman-hook на Арче).

Ответить | Правка | Наверх | Cообщить модератору

140. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (2), 26-Окт-22, 13:55

А от кого ты там на локалхосте защищаешься, подскажи?

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

201. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 26-Окт-22, 16:50

От локальных атакующих (secure boot, вообще, только на защиту от них, в общем-то, и расчитан). Например, от того, чтобы при краже (или изъятии) ноута/компа уберечь свои данные от любопытных глаз.

Ответить | Правка | Наверх | Cообщить модератору

234. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (227), 26-Окт-22, 18:19

Я так понимаю, шифровать разделы накопителей можно и без secure boot.

Ответить | Правка | Наверх | Cообщить модератору

324. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 12:37

Можно, то тогда использовать автоматическую расшифровку через TPM (да и по паролю тоже) небезопасно, т.к. для доступе к системе на любом этапе загрузки можно внедрить код, который сольет ключи шифрования.
Собственно, для того, чтобы предотвратить неавторизованное влияние на загрузку secure boot и существует. Если ты прописываешь свои ключи, то авторизовать выполняющий загрузку код тоже можешь только ты.

Ответить | Правка | Наверх | Cообщить модератору

251. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (251), 26-Окт-22, 19:37

"Возьми этот гаечный ключ за 5 баксов…"

Ответить | Правка | К родителю #201 | Наверх | Cообщить модератору

342. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 16:41

Воришка, который выхватит у меня в кафешке со стола ноут, пока я отвлекся на телефон, вряд ли будет заморачиваться с гаечными ключами.
Что же касается "изымающих", то они к ключам тоже далеко не всегда прибегают.

Ответить | Правка | Наверх | Cообщить модератору

149. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от ryoken (ok), 26-Окт-22, 14:14

>> и производителю железа
Вот совершенно безосновательно :). А ключи там точно сносятся?

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

202. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (86), 26-Окт-22, 16:54

Во-первых, особо вариантов нет (даже с "опенсорс" железом можно поставить вопрос о воспроизводимости). То, что ключи реально сносятся, легко проверить, попытвашись загрузить винду: если винда грузиться перестала - значит ключ, которым она подписана, доверенным быть перестал.
Если уж параноить, то там по-другому надо вопрос ставить: можно ли подделать measurement PCR-ов, которые защищают целостность прошивок и конфигурации BIOS-а (включая настройки SB), скомпрометировав систему, сделав при этом вид, что ничего не поменялось.

Ответить | Правка | Наверх | Cообщить модератору

266. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от microsoft (?), 26-Окт-22, 20:41

> поудалял майкрософтские ключи,
Это как?

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

325. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 12:39

Через KeyTool.efi из efitools (API у UEFI для этого, как и многого другого, стандартизированное). Некоторые производители материнок/ноутов позволяют управлять ключами прям через bios setup.

Ответить | Правка | Наверх | Cообщить модератору

364. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:21

> В итоге я доверяю только себе и производителю железа
Уже смешно -- с учётом шлейфа "заботы".

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

81. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (81), 26-Окт-22, 12:31

Классно! Ждём в mainstream дистрибутивах.

Ответить | Правка | Наверх | Cообщить модератору

437. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от InuYasha (??), 17-Ноя-22, 14:42

А мы ждём отказа и гневных комментариев от mainstream-дистрибутивов.

Ответить | Правка | Наверх | Cообщить модератору

82. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –13 +/–

Сообщение от Аноним (82), 26-Окт-22, 12:32

Местным луддитам всё не так. Если бы не такие люди как господин Поттеринг, вы бы до сих пор на каких-нибудь своих "Искрах" допотопных сидели. Вы радоваться должны что есть люди, которые не требуя ничего взамен делают вашу жизнь удобнее и безопасней, а не ныть по временам когда деревья были больше, а трава зеленее... Если вы так не любите прогресс -- откажитесь вообще от электронных устройств, или сами разработайте такой компьютер, какой вам нравится: без TPM, ME, SecureBoot и прочих вредных по вашему мнению вещей, - сейчас у любого человека есть для этого все возможности. Ленишься или не умеешь? Тогда жри что дают и не выкаблучивайся!

Ответить | Правка | Наверх | Cообщить модератору

96. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (87), 26-Окт-22, 12:40

А зачем ты луддит тогда на линуксе сидишь поставь оффтопик 11 и всё.

Ответить | Правка | Наверх | Cообщить модератору

156. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –4 +/–

Сообщение от Аноним (160), 26-Окт-22, 14:25

На windows 11 нет systemd, pulseaudio, wayland, rust и прочих вещей которые так ненавидят на опеннет.
Удивительно что все эксперты еще не перешли на windows

Ответить | Правка | Наверх | Cообщить модератору

179. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (179), 26-Окт-22, 15:18

А что есть?

Ответить | Правка | Наверх | Cообщить модератору

182. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от AlexYeCu_not_logged (?), 26-Окт-22, 15:26

>А что есть?
Просадка фпс до нуля в окне, которое не в фокусе.

Ответить | Правка | Наверх | Cообщить модератору

193. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (152), 26-Окт-22, 16:39

Есть службы и иконки ✝️

Ответить | Правка | К родителю #179 | Наверх | Cообщить модератору

300. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Бывалый смузихлёб (?), 27-Окт-22, 09:14

То ли дело линукс с зомби и демонами

Ответить | Правка | Наверх | Cообщить модератору

216. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (216), 26-Окт-22, 17:39

Нормальные драйверы видеокарты, которые при установке не выдают чёрный экран при загрузке.

Ответить | Правка | К родителю #179 | Наверх | Cообщить модератору

274. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (274), 26-Окт-22, 23:08

это которые при установке цветомузыку устраивают, а после 10 ребутов попёрдывают на 3 фпс?
и это я ещё про видеокарты, про nvidiа вообще молчу

Ответить | Правка | Наверх | Cообщить модератору

263. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (262), 26-Окт-22, 20:26

>Удивительно что все эксперты еще не перешли на windows
А я и не уходил.

Ответить | Правка | К родителю #156 | Наверх | Cообщить модератору

248. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от freehck (ok), 26-Окт-22, 19:19

> Тогда жри что дают и не выкаблучивайся!
Никогда не жрите того, чего не хочется. Выкаблучивайтесь.
Есть Devuan, например. Он -- старый добрый нормальный Debian.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

288. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (288), 27-Окт-22, 07:32

Я, конечно, плюсанул, но Devuan (его мэйнтейнеры) - кал. Как и в большинстве дистров без sysd, которые я пока чекал. Надо будет obarun в виртуалке потыкать.
А так, лучше уж antiX.

Ответить | Правка | Наверх | Cообщить модератору

296. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от freehck (ok), 27-Окт-22, 08:58

Я бы так грубо не выражался, но в целом причину недовольства оными понять могу.
Субъективно -- Devuan не настолько плох, во всяком случае был пару лет тому назад.

Ответить | Правка | Наверх | Cообщить модератору

297. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Янис (?), 27-Окт-22, 08:59

Чем Devuan не угодил?

Ответить | Правка | К родителю #288 | Наверх | Cообщить модератору

84. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –4 +/–

Сообщение от Аноним (81), 26-Окт-22, 12:33

Вот молодец мужик! Действует, не смотря на волну хейта. Как говорится, «собака лает, караван идёт».

Ответить | Правка | Наверх | Cообщить модератору

108. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от Аноним (107), 26-Окт-22, 12:59

а почему нет, 20 баксов есть 20 баксов

Ответить | Правка | Наверх | Cообщить модератору

298. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от yet another anonymous (?), 27-Окт-22, 09:08

Не 20, а 30. И не баксов, а тетрадрахм.

Ответить | Правка | Наверх | Cообщить модератору

85. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –15 +/–

Сообщение от Аноним (82), 26-Окт-22, 12:34

Надеюсь у Поттеринга всё получится! Системд - лучшее, что случалось с линуксом со времён написания Торвальдсом своего ядра.

Ответить | Правка | Наверх | Cообщить модератору

197. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Админ Марии (?), 26-Окт-22, 16:42

Жырно.

Ответить | Правка | Наверх | Cообщить модератору

208. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (107), 26-Окт-22, 17:08

так и не портил бы, хорошо же

Ответить | Правка | Наверх | Cообщить модератору

104. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от DontTreadOnMe (?), 26-Окт-22, 12:49

Чёт я так и не понял, а как он предлагает менять initrd на машине пользователя и при этом его верифицировать? Или он предлагает поставлять один подписанный initrd для всех?

Ответить | Правка | Наверх | Cообщить модератору

109. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 26-Окт-22, 13:01

Предлагается объединять ядро, initramfs и cmdline в один файл и подписывать его. Ну и по дороге доработать утилиты, чтобы это удобнее было делать.

Ответить | Правка | Наверх | Cообщить модератору

133. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от DontTreadOnMe (?), 26-Окт-22, 13:46

Так подписать-то всё-равно может только дистрибутив. Если подписывает пользователь с приватным ключём на том же ПК, то смысла этой операции не так, чтобы прям много.

Ответить | Правка | Наверх | Cообщить модератору

204. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –2 +/–

Сообщение от Аноним (86), 26-Окт-22, 16:58

Диск зашифрован должен быть, ясное дело, и автоматическое расшифровывание (без ввода пароля пользователем) должно срабатывать только есть система аттестована на то, что её значимые для безопасности части не поменялись (это делается через PCR-регистры).
Если грамотно реализовать всю схему, как предлагает Леннарт, то доступ к данным на диске локальный атакующий получить не сможет без наличия уязвимостей в BIOS, прошивке TPM-чипа или процессоре (собственно, только они и останутся доверенными компонентами).

Ответить | Правка | Наверх | Cообщить модератору

302. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от DontTreadOnMe (?), 27-Окт-22, 10:17

> Диск зашифрован должен быть, ясное дело
Ну так если диск зашифрован, то не важно подписан initrd или нет. Ну если диск, содержащий initrd, зашифрован, то его расшифровкой должен заниматься либо uefi, либо загрузчик (последний в описанной схеме опционален, так что не он). А доверять шифрование uefi никто особо не спешит, да и не умеет он нормально шифровать, как правило.
Ну и это всё не отменяет того, что если приватный ключ лежит на ПК пользователя, то вредоносы могут его использовать для модификации initrd, даже если он запаролен (модифицировав дракут, например). Это не совсем верифицированная загрузка.

Ответить | Правка | Наверх | Cообщить модератору

327. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 12:48

> Ну так если диск зашифрован, то не важно подписан initrd или нет.
Важно, потому что, модифицировав initrd, атакующий может слить ключ шифрования диска (если разблокировка происходит через TPM-слот, то это можно сделать автоматически, а если по паролю, то надо будет дождаться, когда ты пароль введешь). Потому, собственно, защита процесса загрузки и важна.
> Ну если диск, содержащий initrd, зашифрован
ESP и XBOOTLDR разделы, разумеется, не шифруются.
> Ну и это всё не отменяет того, что если приватный ключ лежит на ПК пользователя
Если он лежит на зашифрованном же разделе, то evil maid до него не доберется. А для защиты от удаленных атак, если они входят в твою модель угроз, применяй HSM. Ну или хотя бы правильно выставляй права на файлы с приватными ключами: если атакующий обретет рут-права, то ему, в общем-то, атаковать процесс загрузки уже не нужно, он и так получил всё, что можно, и вычислительные ресурсы, и твои данные.

Ответить | Правка | Наверх | Cообщить модератору

365. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:26

Конечно, не нужно -- ему же незачем то же самое и на следующий раз.  А в прошивки дисков внедряются ну совсем уж простофили-дурачки. </>

Ответить | Правка | Наверх | Cообщить модератору

435. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 10-Ноя-22, 17:28

Если мы говорим про массовых пользователей, против которых навороченные таргетированные атаки не применяются, то основная угроза для них - это не кастомная, разработанная под софт и железо жертвы, малварь, а банальная кража/потеря компьютера, слив пользовательских данных (пароли/сессии от банков/почты/соцсетей/госуслуг/мессенджеров, криптокошельки, приватные фото, которыми можно шантажировать) и участие в ботнетах. В общем, либо случайные, либо массовые атаки, где, как говорится, easy come, easy go, и проще найти следующую жертву, чем закрепляться в системе через внедрение в прошивку диска определенной модели.

Ответить | Правка | Наверх | Cообщить модератору

348. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (160), 27-Окт-22, 18:24

Я не совсем понимаю, останется ли при этом загрузчик grub?
Если ядро не может запуститься, как ему передать другие параметры загрузки?

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

176. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от n00by (ok), 26-Окт-22, 15:16

> он предлагает
> поставлять один подписанный initrd для всех?
Да.

Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

189. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (152), 26-Окт-22, 16:31

Он предлагает сделать зонт который воткнуть в одно место.
Местные эксперты так возмущаться, потому им видимо уже воткнули.

Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

106. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +6 +/–

Сообщение от Аноним (106), 26-Окт-22, 12:56

Пора уже дифференцировать корпоративный опенсорс от СПО. Корпоративщина под GPL не нужна сообществу. Открытая она или закрытая - вообще без разницы. Сообществу не нужны решения проблем, возникающих исключительно в корпорациях.

Ответить | Правка | Наверх | Cообщить модератору

130. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –3 +/–

Сообщение от annonn (?), 26-Окт-22, 13:34

Согласен, нужно разделить линукс на два ветки:
- священная СПО
- мерзкая корпоративная
Код для каждой из веток оплачивается (временем, деньгами) самостоятельно сообществом или корпорастами.
Интерсно через сколько времени загнется та или иная ветка.

Ответить | Правка | Наверх | Cообщить модератору

166. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (106), 26-Окт-22, 14:48

Пока что все выглядит так, что корпорации вынуждены тратить огромные деньги, чтобы избавить линукс от фатальных недостатков. В то время как сообщество своими силами поддерживает то, что ему действительно нужно. И вопреки ожиданиям, "любительских" дистрибутивов становится только больше и их качество на одном уровне с продакшеном корпораций.
Без инноваций от Поттеринга сообщество уж точно проживет. До него были какие хочешь системы инициализации. 30 лет назад был CFEngine, до которого системг как до луны.

Ответить | Правка | Наверх | Cообщить модератору

192. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (152), 26-Окт-22, 16:34

Конечно становится больше. Любой Денис Попов может сделать свой Линукс, просто поменяв обои и имя автора.

Ответить | Правка | Наверх | Cообщить модератору

217. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от анонимус (??), 26-Окт-22, 17:40

> сообщество своими силами поддерживает то, что ему действительно нужно
Ноет про убирание древних платформ?
Сообщество добавляет драйвера? Или может поддержку новых платформ?
Или может поддержку языков которые избавят "линукс от фатальных недостатков"?
Сообщество наверное уже забыло как искать дрова на камеру или другие девайсы?
Благо есть корпорации у которых есть достаточно денег чтобы оплатить работу специалистов.

Ответить | Правка | К родителю #166 | Наверх | Cообщить модератору

258. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от microsoft (?), 26-Окт-22, 20:16

  > Благо есть корпорации у которых есть достаточно денег чтобы оплатить работу специалистов.
И поэтому ты позволишь им присунуть тебе как следует?

Ответить | Правка | Наверх | Cообщить модератору

301. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Бывалый смузихлёб (?), 27-Окт-22, 09:22

> Сообщество добавляет драйвера?
> Или может поддержку новых платформ?
По устройствам и платформам производитель/разработчик предоставляет полную документацию всем желающим ?
Ну, чтобы при наличии навыков и времени, драйвер было реально сделать.
Нынче доходит до того, что по убогим старым камерам( 1-2МП ) для ESP32-cam производитель категорически не хочет раскрывать данные даже для тамошнего DSP-блока, какие флаги и на что влияют
В общем, по «корпорациям» дело часто не в обилии или отсутствии денег а как минимум в наличии документации на энные железки

Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору

366. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:28

В очередной раз упомяну пророческое из 2007 года:
---
Сообщество было живо, когда они стреляли в нас с другой стороны.
Сообщество живо, когда они перебежали на нашу сторону, по ночам
жрут тушенку под одеялом, а утром плачут и просят добавки у
котла. Сообщество будет жить и когда они перебегут обратно.
--- http://users.livejournal.com/aen-/80492.html?thread=1304940#...

Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору

376. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (106), 28-Окт-22, 02:16

А потом всех трудоустроили, а кому-то еще и проплатили за то, чтобы СПО никогда не было внедрено на ключевых направлениях. И сообщества не стало. За бугром вместо сообщества дрессированные БЛМ-лесбиянки, вытесняющие нормальных людей. Быть корпоративным рабом стало сильно престижнее, чем энтузиастом СПО или хакером.
К 2020 годам уже сложился корпоративный сектор СПО, в котором развиваются продукты, составляющие инфраструктуру экосистем, ключевыми частями которых является проприетарное ПО и SAAS.
Истинно свободное ПО стагнирует - ресурсов сообщества не хватает даже на поддержание пакетов в актуальном состоянии. В итоге люди вынуждены пользоваться "корпоративными" линуксами и мириться с их нововведениями. Браузеры и мобильные ОС - ноукомментс. Сообщество конечно живет, но все время на побегушках у корпораций.

Ответить | Правка | Наверх | Cообщить модератору

423. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (374), 29-Окт-22, 19:41

> ресурсов сообщества не хватает даже на поддержание пакетов в актуальном состоянии
Зато хватает времени стругать версии каждый месяц... прям парадокс.

Ответить | Правка | Наверх | Cообщить модератору

110. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (110), 26-Окт-22, 13:02

> Леннарт Поттеринг предложил новую архитектуру...
> Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd...
Не предложил, а почти поставил перед фактом. "Сообщил"... Вернее: устами Ленарта было сообщено.

Ответить | Правка | Наверх | Cообщить модератору

126. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от myhand (ok), 26-Окт-22, 13:26

Нравится не нравится - терпи, моя красавица...  SystemD уже вставлен же?

Ответить | Правка | Наверх | Cообщить модератору

221. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от fprintf (ok), 26-Окт-22, 18:01

SysVinit на Slackware, OpenRC на Artix. Что такое systemd?

Ответить | Правка | Наверх | Cообщить модератору

242. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Moebius (ok), 26-Окт-22, 19:00

В Slackware нет SysVinit.

Ответить | Правка | Наверх | Cообщить модератору

295. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Янис (?), 27-Окт-22, 08:46

BSD-шная система инициализации на Слаквари. Но нет СыстемДы! :)

Ответить | Правка | Наверх | Cообщить модератору

367. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:31

e2k-alt-linux, sysvinit.
:-P

Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

377. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (377), 28-Окт-22, 07:16

Что там с производством ещё одного экземпляра процессора? Ничего?
А в Зеленограде производство работает? Хотя бы той очень старой версии на 300мгц?

Ответить | Правка | Наверх | Cообщить модератору

378. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (377), 28-Окт-22, 07:23

Вы хвастаетесь процессором конторый больше никогда выпускать не будут.
Прохвастайтесь лучше альтом на Эльбрус-2СМ из Зеленограда

Ответить | Правка | К родителю #367 | Наверх | Cообщить модератору

111. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от warlock66613 (ok), 26-Окт-22, 13:05

> Верификация образа initrd не поддерживается так как данный файл формируется на локальной системе пользователя и не может быть заверен цифровой подписью дистрибутива
Ну и как это предлагается преодолевать-то?

Ответить | Правка | Наверх | Cообщить модератору

129. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (-), 26-Окт-22, 13:33

EFI_stub и без Поттеринга придумали. В LUKS еще просто все шифруется.

Ответить | Правка | Наверх | Cообщить модератору

143. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +6 +/–

Сообщение от Аноним (143), 26-Окт-22, 14:07

Почему systemd еще не переписывают на раст? Уважаемые растаманы, помогите проекту как вы помогли файрфоксу.

Ответить | Правка | Наверх | Cообщить модератору

177. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от Максим (??), 26-Окт-22, 15:17

Отличная идея! Может они соединятся и аннигилируют!)

Ответить | Правка | Наверх | Cообщить модератору

368. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:32

Специально поднялся поаплодировать :-D

Ответить | Правка | К родителю #143 | Наверх | Cообщить модератору

145. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Шаттлврот (?), 26-Окт-22, 14:12

Дело хорошее. Пару лет назад пытался собрать систему с разблокировкой LUKS по TPM PCR-ам из clevis и самопальных скриптов, напильника и какой-то там матери.
При каждом обновлении ядра\initrd приходилось конечно спрашивать пассфразу, дабы разблочить шифрованный том (PCR-ы то меняются при обновлении ядра и\или initrd) и заодно забиндится на новые PCR-ы.
Конечно если пользователь перезагружается только для применения обновлений ядра, то вся конструкция несколько теряет смысл. Но была и более серьезная проблема - я на нашел PCR-ов, которые реагируют только на изменение ядреного cmdline. Есть такой(номерок правда не помню), но он помимо изменения cmdline реагировал на любой чих вроде подключения usb-устройства. А без контроля на cmdline можно спокойно поменять init на bash, загрузиться и спокойно сдампить PCR-ы, после чего использовать их для разблокировки с livecd...

Ответить | Правка | Наверх | Cообщить модератору

205. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (86), 26-Окт-22, 17:02

Раньше с clevis-ом (в лучшем случае) да, была засада. Сейчас с systemd-cryptsetup (дергается из initramfs) и systemd-cryptenroll (его нужно вызывать, чтобы добавить TPM2-слот в LUKS) это все делается очень просто.

Ответить | Правка | Наверх | Cообщить модератору

161. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (161), 26-Окт-22, 14:30

Проблема тут не в технологиях, а в том что караван идет, а эти ребята остались
за бортом, а их караван чет где-то там в RISC-V для военных чего-то когда-то
сделал один раз, но все засекретили...
В началае года появилицсь, цифровые кочевники (цифровые БОМ-жи),
а теперь появились тенологические сироты (цифровые детдомовцы).

Ответить | Правка | К родителю #145 | Наверх | Cообщить модератору

163. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (162), 26-Окт-22, 14:37

А как оно будет работать на Арчах? При обновлении через пакман будут прилетать новые ключи для новых версий пакетов?
Зачем нужно "Microsoft shim-прослойка"?

Ответить | Правка | Наверх | Cообщить модератору

190. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (215), 26-Окт-22, 16:32

На Арче всё всегда будет только так, как ты настроил. И никак иначе.

Ответить | Правка | Наверх | Cообщить модератору

294. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Янис (?), 27-Окт-22, 08:44

Арчу бы сперва от сыстемДы избавиться не помешало бы

Ответить | Правка | К родителю #163 | Наверх | Cообщить модератору

165. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Янис (?), 26-Окт-22, 14:46

Линус, для чего ты повзолил Микрософту присоединиться к разработке ядра???

Ответить | Правка | Наверх | Cообщить модератору

228. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (152), 26-Окт-22, 18:10

Линукс скатился. Сначала 486 выпили, теперь вот это

Ответить | Правка | Наверх | Cообщить модератору

167. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Янис (?), 26-Окт-22, 14:49

Вот почему не стоить использовать дистры с SystemD. Леня в тихаря делает благое дело: заставляет админов возвращаться на SysVinit

Ответить | Правка | Наверх | Cообщить модератору

346. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от пох. (?), 27-Окт-22, 16:54

Странная опечатка в слове "винду".

Ответить | Правка | Наверх | Cообщить модератору

369. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:37

Не, винду в <рифму>.  Пусть те индусы сами из неё линукс делают.
Посмотрел тут как-то на эти "я решило перезагрузиться" и лишний раз понял, почему хоть и кривенький, косенький, подпёртый костыликами, но всё ещё пока огородами пригодный для применения поперёк воли большого небрата линукс -- милей.
Долгосрочно так явно не продержится, думаю (как и любая экспонента сложности, подцепленная на ресурсную волну) -- но вряд ли окажется _главной_ проблемой в валу аналогичных.

Ответить | Правка | Наверх | Cообщить модератору

385. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от пох. (?), 28-Окт-22, 10:58

> Посмотрел тут как-то на эти "я решило перезагрузиться"
эти?
//Unattended-Upgrade::Automatic-Reboot "false";
//Unattended-Upgrade::Automatic-Reboot-Time "02:00";
Ну вроде написано что выключены. Правда, при этом дерьмобас с дырой на оставленном без присмотра так и остается с дырой. Да и ssh линкованный с дырявой openssl - тоже.
А так - да, совершенно омерзительное решение. Винда-то действительно умеет выбирать время когда никому не мешает, да еще и двадцать раз переспросить точно ли можно.

Ответить | Правка | Наверх | Cообщить модератору

438. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от InuYasha (??), 17-Ноя-22, 16:24

/me вспомнил как у половины планеты оказалась на компе десятка - конечно, их 20 раз переспросили )
Понятно, что групповыми политиками они не занимались, но...

Ответить | Правка | Наверх | Cообщить модератору

169. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (169), 26-Окт-22, 14:54

Весело у вас тут.
Еще OpenSUSE отправил на свалку как они перешли на системду. Хотя было и жаль, настолько офигенный дистр. Был.

Ответить | Правка | Наверх | Cообщить модератору

370. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:40

http://altlinux.org/starterkits :)

Ответить | Правка | Наверх | Cообщить модератору

184. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Ассемблер (?), 26-Окт-22, 15:33

Читайте об этом в новой части книги "Леннарт Поттеринг и верифицированная загрузка".

Ответить | Правка | Наверх | Cообщить модератору

185. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (185), 26-Окт-22, 15:59

Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по переименованию Linux в Lennax.

Ответить | Правка | Наверх | Cообщить модератору

186. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +4 +/–

Сообщение от Golangdev (?), 26-Окт-22, 16:10

> полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения
Какой корпоративный бред. Попахивает душными безопасниками, которые не умеют ни кодить ни админить, но придумывают себе и другим работу.

Ответить | Правка | Наверх | Cообщить модератору

187. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (187), 26-Окт-22, 16:10

Капец! Диверсант жив! Гадит сидя в оффисе Майкрософта. Я в шоке! История повторяется, всё время!

Ответить | Правка | Наверх | Cообщить модератору

203. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (203), 26-Окт-22, 16:54

Как же хорошо, что во FreeBSD нет Поттерингов и сыстэмДИ

Ответить | Правка | Наверх | Cообщить модератору

219. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от fprintf (ok), 26-Окт-22, 17:59

Послушай выступление "The Tragedy of systemd" от Benno Rice на YouTube, к примеру. Это разработчик из команды FreeBSD. Он говорит, что фряхе нужен свой systemd. Хорошо, что у них всё так медленно развивается.

Ответить | Правка | Наверх | Cообщить модератору

237. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (237), 26-Окт-22, 18:30

Benno Rice не прав. Трагедия всех ОС БЗД в том, что они пермиссивно-разрешильные, в этом их слабость. Они до сих пор не поняли, что божественной силой обладает только копилефт.

Ответить | Правка | Наверх | Cообщить модератору

244. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (203), 26-Окт-22, 19:02

GNU GPL это открытость, а BSD истинная свобода

Ответить | Правка | Наверх | Cообщить модератору

275. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (274), 26-Окт-22, 23:12

истинная свобода это рутрекер и дизасм, остальное пропаганда копирастов

Ответить | Правка | Наверх | Cообщить модератору

304. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (304), 27-Окт-22, 10:37

Да вот только оно непригодно для чего-то большего чем терминал по ссш

Ответить | Правка | К родителю #203 | Наверх | Cообщить модератору

333. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (333), 27-Окт-22, 15:12

Что именно непригодно и для чего?

Ответить | Правка | Наверх | Cообщить модератору

357. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (-), 27-Окт-22, 22:06

> Да вот только оно непригодно для чего-то большего чем терминал по ссш
Ну да, WSB под вендочку не завезли, поэтому современные пингвинятки не могут понять, как этим пользоваться.
https://i.postimg.cc/Wb0w62MJ/2022-10-27-21-01-51.png
обт^W подгорай ...

Ответить | Правка | К родителю #304 | Наверх | Cообщить модератору

222. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +3 +/–

Сообщение от Аноним (222), 26-Окт-22, 18:01

> UKI-образ оформляется в виде исполняемого файла в формате PE
Ахаха, образ Линукса в виде майкросрфтовского экзешника!

Ответить | Правка | Наверх | Cообщить модератору

226. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (152), 26-Окт-22, 18:08

А что в этом смешного?

Ответить | Правка | Наверх | Cообщить модератору

257. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от microsoft (?), 26-Окт-22, 20:09

Да... тут уже не до смеха.

Ответить | Правка | Наверх | Cообщить модератору

261. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (377), 26-Окт-22, 20:20

Ядро уже очень давно можно собрать в виде PE образа для UEFI и загрузить напрямую.
Раковая опухоль виндовых PE образов поразила линукс уже давно, всем опеннет экспетам уже давно и срочно пора переходить на openbsd или kolibrios

Ответить | Правка | Наверх | Cообщить модератору

310. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (313), 27-Окт-22, 11:27

Можно и на Стрекозу. По-моему, не так хардкорно будет.

Ответить | Правка | Наверх | Cообщить модератору

371. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:40

Ну как... сквозь слёзы, но на "хи-хи", да.

Ответить | Правка | К родителю #226 | Наверх | Cообщить модератору

328. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 12:52

Там не exe-шник в привычным понимании (из-под винды ты его не запустишь). Используется PE-формат потому, что именно он стандартизован для исполняемых файлов UEFI.

Ответить | Правка | К родителю #222 | Наверх | Cообщить модератору

343. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (343), 27-Окт-22, 16:45

Форматом исполняемых файлов должен быть только Эльф.

Ответить | Правка | Наверх | Cообщить модератору

372. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Michael Shigorin (ok), 27-Окт-22, 22:41

Гм, а FAT32 почему именно стандартизован?

Ответить | Правка | К родителю #328 | Наверх | Cообщить модератору

387. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Lex20 (ok), 28-Окт-22, 11:12

Он самый простой из всех файловых систем, которые везде читаются. Но по мне так лучше бы механизм MBR оставили с его 0x55aa, он ещё проще.

Ответить | Правка | Наверх | Cообщить модератору

394. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 28-Окт-22, 11:57

MBR настолько проще, что более 10-ти лет назад ВинДОС захватили буткиты. https://www.securitylab.ru/analytics/437275.php

Ответить | Правка | Наверх | Cообщить модератору

395. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Lex20 (ok), 28-Окт-22, 15:14

Ну если "сложнее" делают чтобы "заботиться" о запускаемых мной программах, то я выберу "проще" и дистанцируюсь от такой заботы. Хотите верьте, хотите нет, но у меня основная windows7 без антивируса, и я её ни на что не поменяю.
То что кто-то скачал нечто из интернета, и это нечто поставило яндекс браузер, и человек пользуется этим браузером, такое часто встречал. Тут матами приходилось объяснять что чел сделал не так и продолжает настойчиво делать.

Ответить | Правка | Наверх | Cообщить модератору

405. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 29-Окт-22, 07:09

Руткит никак не проявляет себя в системе. Это его задача, скрыть присутствие. Так что пример с браузером не по теме.

Ответить | Правка | Наверх | Cообщить модератору

407. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Lex20 (ok), 29-Окт-22, 08:47

Меня то недолюбленная грудастая красотка с кучей денег не позовёт комп чинить если вируса не видно. Так что мне эти руткиты до одного места.

Ответить | Правка | Наверх | Cообщить модератору

427. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 31-Окт-22, 07:27

Альфонс, готовый за мзду малую подставить ближнего? Не стоит так шутить.

Ответить | Правка | Наверх | Cообщить модератору

400. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Онаним. (?), 28-Окт-22, 21:06

Так блин, что мешает игнорировать бутсектор-то?
Но надо сказать MBR - редкостное овнище, потому что всего 4 места под разделы, а дальше лепить костыли в виде extended.

Ответить | Правка | К родителю #394 | Наверх | Cообщить модератору

404. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от n00by (ok), 29-Окт-22, 06:55

Так EFI как раз и игнорирует бутсектор. И проверяет подпись запускаемого образа. Какие ещё могут быть варианты? FAT и Portable Executable - это просто детали реализации. Микрософт, естественно, внедрила своё. Делали бы другие - были бы ext2 и ELF.

Ответить | Правка | Наверх | Cообщить модератору

406. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Lex20 (ok), 29-Окт-22, 08:35

Зачем вам вообще разделы?
Я себе 2 физических диска в писюк поставил, теперь места всегда и на всё хватает, могу хоть в нулевой сектор ntfs записать, и свои данные с компа на комп не надо переносить - взял винчестер с данными да перенёс.
Efi конечно всё портит, ему только fat32 подходит, особый раздел напрашивается, но у меня писюк 2011 года, у меня mbr.
Ну а ноут у меня печатная машинка на атоме с 32гб памяти, там все данные на флешке.
Ещё был ноут hp430, почивший через месяц после конца гарантии. Там был nvme и sata, т.е. 2 ssd можно было впихнуть.
Короче, как вы организовываете всё так что вам нужны разделы? Тем более больше 2-х

Ответить | Правка | К родителю #400 | Наверх | Cообщить модератору

408. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Онаним. (?), 29-Окт-22, 09:39

Окей. Нет у нас больше разделов. Ставим один диск под EFI, придётся поискать гига на 4, больше смысла нет. Второй под бут, окей, там гига 32 надо. Третий под своп. От 4 гиг до 1 терабайта. Ну и четвёртый под LVM cо всяким, наконец. Как считаешь, во многих ноутах столько мест под диски найдётся? Хорошо, своп можно на LVM убрать, но вот EFI и бут - ни в коем случае.

Ответить | Правка | Наверх | Cообщить модератору

410. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Онаним. (?), 29-Окт-22, 09:50

> Ну а ноут у меня печальная машинка на атоме
Fixed

Ответить | Правка | К родителю #406 | Наверх | Cообщить модератору

411. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Онаним. (?), 29-Окт-22, 09:52

Дальше. Нужен дуалбут. Будем ещё дисков ставить?

Ответить | Правка | К родителю #406 | Наверх | Cообщить модератору

416. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Lex20 (ok), 29-Окт-22, 14:04

Короче необходимость разделов вам кто-то навязал, как я понял. Мол раз придумано значит пользуйтесь.

Ответить | Правка | Наверх | Cообщить модератору

417. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Онаним. (?), 29-Окт-22, 14:40

Просто мои потребности чуть превышают уровень печатной машинки.

Ответить | Правка | Наверх | Cообщить модератору

386. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Lex20 (ok), 28-Окт-22, 11:11

Почему не запущу? Поставлю тип исполняемого win32 приложения, докину обёртку для efi стартовой процедуры, смещу entrypoint на обёртку, и он запустится как родной. Можно просто поменять тип по смещению 0xdc с 0xa0 на 0x03 для 32 битных, и он запустится под win32, но понятно почему ляснется.

Ответить | Правка | К родителю #328 | Наверх | Cообщить модератору

388. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Lex20 (ok), 28-Окт-22, 11:17

Там для 64 битных загрузчиков формат вызова процедур называется ms_abi, вот тут вообще все карты раскрыты.

Ответить | Правка | К родителю #328 | Наверх | Cообщить модератору

412. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Онаним. (?), 29-Окт-22, 10:00

Там EFI по ходу на загрузчике, не? Если да, то естественно ms_abi.

Ответить | Правка | Наверх | Cообщить модератору

413. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Онаним. (?), 29-Окт-22, 10:00

(вопрос ради вопроса, всё очевидно, речь про EFI)

Ответить | Правка | Наверх | Cообщить модератору

415. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Lex20 (ok), 29-Окт-22, 14:01

Не, суть в том что ms от microsoft сокращение

Ответить | Правка | К родителю #412 | Наверх | Cообщить модератору

418. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Онаним. (?), 29-Окт-22, 14:40

Ну так EFI = MS.

Ответить | Правка | Наверх | Cообщить модератору

239. Скрыто модератором +6 +/–

Сообщение от Kuromi (ok), 26-Окт-22, 18:34

Гоните в его шею. Чьи тут торчат уши понятно сразу. Как только чел стал работать в Микрософте сразу оаботился тем что Линукс недостаточно секурно загружается.
Следующей подвижкой будет "ну смотрите же, теперь все ОС поддерживают Secure Boot, самое время убрать опцию по его отключению из UEFI".

Ответить | Правка | Наверх | Cообщить модератору

243. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Moebius (ok), 26-Окт-22, 19:01

Лёнь, у тебя там новая версия svchost.exe недописана. Не отвлекайся.

Ответить | Правка | Наверх | Cообщить модератору

282. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (280), 27-Окт-22, 00:04

Ээ, на Rust не переписана ещё.

Ответить | Правка | Наверх | Cообщить модератору

246. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Анонимыч (?), 26-Окт-22, 19:07

Аноним никогда не бывает довольным.D

Ответить | Правка | Наверх | Cообщить модератору

256. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (256), 26-Окт-22, 20:07

Прочитал портянку. Кроме двух упоминаний о LUKS2 так не понял: надёжно ли сейчас шифрование тома? Будут ли риски несанкционированного расшифрования тома после (если) внедрение сией инновации?

Ответить | Правка | Наверх | Cообщить модератору

270. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от BrainFucker (ok), 26-Окт-22, 20:58

Он же в Microsoft ушёл, вот пусть для Шindoшs и предлагает теперь, Linux тут причём? ))

Ответить | Правка | Наверх | Cообщить модератору

311. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от randomize (?), 27-Окт-22, 11:28

Azure, WSL, CBL-Mariner. Там 100% целые отделы на Линуксе сидят.

Ответить | Правка | Наверх | Cообщить модератору

317. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (-), 27-Окт-22, 12:18

Ты его не понял. Он говорит: "А нафига нам прогибаться под маздай!". Azure, WSL, CBL-Mariner - лично мне эта группа приложений мне не нужна.

Ответить | Правка | Наверх | Cообщить модератору

281. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от lucentcode (ok), 26-Окт-22, 23:57

Уже на UKI с загрузкой из UEFI(прощай Grub2). Удобно. Но, вся эта фигня с верификацией загрузки не понятно зачем мне нужна. Да и любому другому простому юзеру.

Ответить | Правка | Наверх | Cообщить модератору

329. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 12:55

UKI не исключает grub. Последний всё равно нужен, потому что удобного управления вариантами загрузки на уровне UEFI нет. Можно, конечно, напрямую linux-ядро в efi boot entry указать (причем, довольно давно), но так никто не делает обычно, и вряд ли начнет.

Ответить | Правка | Наверх | Cообщить модератору

287. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +6 +/–

Сообщение от КриптоАнонимус (?), 27-Окт-22, 04:13

С одного фланга на пингвинятку маньяки rustоманы напали, с другого засланцы от корпораций. Ядро в опасности, хоть форкай и сам развивай.

Ответить | Правка | Наверх | Cообщить модератору

403. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –1 +/–

Сообщение от Аноним (403), 29-Окт-22, 02:13

Нет никакого смысла развивать поделие троечника Трольвадса. Даже Миникс ближе к идеалу, чем все эти линуксовые потуги.

Ответить | Правка | Наверх | Cообщить модератору

289. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Янис (?), 27-Окт-22, 07:52

Интересно почитать оригинал, от куда была взята эта новость. Может Поттеринг это предложил для Линукса, который пилит Майкрософт (они же пилят свой Линукс)? Его же взяли в Майкрософт пилить ихний Линукс наверное, ну вот он и создал собственную модель загрузки для их Линукса. Что может подтверждаться тем фактом, что это все дело формируется в ихний экзешный файл.

Ответить | Правка | Наверх | Cообщить модератору

308. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (308), 27-Окт-22, 11:09

Ты правильно говоришь они пилят свой дистр cbl-mariner. Но ты не сказал главного что это EEE. Они сделают так как им удобно, а потом просто всех на него переведут. И всё должны будут повторять за майками, а не за красной шляпой.

Ответить | Правка | Наверх | Cообщить модератору

290. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –4 +/–

Сообщение от Онаним. (?), 27-Окт-22, 08:14

Да нормальная мысль, фиг ли. Ничего нового, всё уже 100500 раз обсосано, и даже работает в тех или иных вариантах. Предлагается стандартизовать, why not?

Ответить | Правка | Наверх | Cообщить модератору

309. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Аноним (106), 27-Окт-22, 11:15

systemd-purchase

Ответить | Правка | Наверх | Cообщить модератору

314. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (314), 27-Окт-22, 11:39

А потом опять окажется недетерминированный результат?

Ответить | Правка | Наверх | Cообщить модератору

315. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Full Master (?), 27-Окт-22, 11:49

Придумал то, что я делал 5 лет назад для загрузки с LUKS раздела через EFI Stub с включенным Secure Boot.

Ответить | Правка | Наверх | Cообщить модератору

330. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (86), 27-Окт-22, 12:57

Тут речь про то, чтобы стандартизировать на уровне разных дистрибутивов этот механизм, а также закрыть ряд мелких дыр (например, то, что через TPM можно вытащить ключ шифрования в любое время уже после завершения работы initrd).

Ответить | Правка | Наверх | Cообщить модератору

375. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +2 +/–

Сообщение от Анончик (?), 28-Окт-22, 01:42

Что то я не понимаю, а если у меня на стадии загрузки с модулем проблема.
Или мне они не все нужны, или у меня кастомное ядро.
Дичь какая-то.

Ответить | Правка | Наверх | Cообщить модератору

384. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Аноним (384), 28-Окт-22, 10:35

EEE в действии!

Ответить | Правка | Наверх | Cообщить модератору

393. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от zeroc0der (?), 28-Окт-22, 11:46

Какая прелесть: теперь можно вшивать анальные зонды в линукс, без страха быть обнаруженными =)

Ответить | Правка | Наверх | Cообщить модератору

397. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от Анонимный (ok), 28-Окт-22, 17:53

Говорим о безопасности, а думаем о монополизации рынка!
Так называемая "верифицированная загрузка" направленна чтобы усложнить установку линукс обычным пользователям!
А в идеале для них - монополизировать линукс, то есть уничтожить мелкие сборки энтузиастов которые находятся вне их контроля. Тем самым спровоцировать застой и навязав стандарты из костылей.

Ответить | Правка | Наверх | Cообщить модератору

426. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от А (??), 30-Окт-22, 18:40

Платный контент. Как сделать, чтобы не мог без трат денег использовать компьютер.
Только это и, скорее всего, больше почти ничего.

Ответить | Правка | Наверх | Cообщить модератору

402. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +5 +/–

Сообщение от Аноним (403), 29-Окт-22, 02:11

Тот, кто жертвует свободой в обмен на безопасность, в итоге теряет и то, и другое.

Ответить | Правка | Наверх | Cообщить модератору

409. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." –4 +/–

Сообщение от Онаним. (?), 29-Окт-22, 09:41

Так тебя ж никто не заставляет шкурбут включать. Оно и без шкурбута загрузится.

Ответить | Правка | Наверх | Cообщить модератору

424. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +1 +/–

Сообщение от Аноним (424), 29-Окт-22, 20:22

А тебя не кто не заставляет работать, зачем работаешь?

Ответить | Правка | Наверх | Cообщить модератору

428. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/–

Сообщение от Serg (??), 01-Ноя-22, 09:07

не  на безопасность а на удобство

Ответить | Правка | К родителю #402 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+34 +/–
Сообщение от RedHat Support (?), 26-Окт-22, 10:42
LinuxD на шаг ближе?
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+91 +/–
	Сообщение от Аноним (6), 26-Окт-22, 10:46
	Поттеринг был ниспослан линуксойда за их →ГРЕХИ←
	Ответить \| Правка \| Наверх \| Cообщить модератору


	374. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+2 +/–
	Сообщение от Аноним (374), 27-Окт-22, 23:27
	"Сотрудник Микрософта предложил..." ...сотруднику Микрософта ещё не предложили пойти куда подальше?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	419. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от Анониим Ноним (?), 29-Окт-22, 18:29
	Они потом возвращаются. Увы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	421. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от shardddin (?), 29-Окт-22, 19:24
	Это за какие еще??
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	431. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от Аноним (431), 05-Ноя-22, 18:29
	За несоблюдение прописанного в учебнике по Integrity! Помните и не забывайте истинные правила Integrity: https://www.linux.org.ru/forum/security/16550382?cid=16564526 а то вставят вам в UEFI ключи от M$ а в Intel Boot Guard ключ от производителя! Все уже давно реализовано и работает: https://www.linux.org.ru/forum/security/16550382?cid=16567177 по этому и сказали леньке фас, чтобы похерил. Сделано уже есть все очень хорошо: В Intel Boot Guard можно ключ прописать только если мамка с пройти соеденина. Следовательно если проц и маску покупать отдельно, то пользователей всегда сможет установить свой ключ Intel Boot Guard. Цифровая подпись Intel Boot Guard ставится на каждый модуль UEFI отдельно и если удалить один модуль, то на проверку подписи других это не повлияет. Следовательно mecleaner работает и часть IntelME можно удалить даже при сертифицированы загрузки. Libreboot и Coreboot работают с подписями хорошо. Выбирайте железо с их поддержкой. Или производителей которые разрешают удалять предустановленнын ключи и устанавливать свои: https://habr.com/en/post/273497 И вантуз тоже своим ключом подписываем: https://www.linux.org.ru/forum/admin/15742224?cid=15742698
	Ответить \| Правка \| Наверх \| Cообщить модератору


	433. "FIX вражеского спелчекера."	+/–
	Сообщение от Аноним (431), 05-Ноя-22, 18:40
	За несоблюдение прописанного в учебнике по Integrity. Помните и не забывайте истинные правила Integrity: https://www.linux.org.ru/forum/security/16550382?cid=16564526 а то вставят вам в UEFI ключи от M$ а в Intel Boot Guard ключ от производителя! Все уже давно реализовано и работает: https://www.linux.org.ru/forum/security/16550382?cid=16567177 по этому и сказали леньке фас, чтобы похерить. Сделано уже есть все очень хорошо: В Intel Boot Guard можно ключ прописать только если мамка с процом соеденина. Следовательно если проц и мамку покупать отдельно, то пользователь всегда сможет установить свой ключ Intel Boot Guard! А если в месте, то надо предварительно уточнять у производителя, что он там наделал. Цифровая подпись Intel Boot Guard ставится на каждый модуль UEFI отдельно и если удалить один модуль, то на проверку подписи других это не повлияет. Следовательно mecleaner работает и часть Intel ME можно удалить даже при верифицтрованной загрузке! Libreboot и Coreboot работают с подписями хорошо. Выбирайте железо с их поддержкой. Или хотя бы производителей которые разрешают удалять предустановленнын ключи и устанавливать свои: https://habr.com/en/post/273497 И вантуз тоже своим ключом подписываем: https://www.linux.org.ru/forum/admin/15742224?cid=15742698
	Ответить \| Правка \| Наверх \| Cообщить модератору


	432. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+1 +/–
	Сообщение от Аноним (431), 05-Ноя-22, 18:31
	Ничего личного, такой стиль бизнеса в M$.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	46. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от Аноним (46), 26-Окт-22, 11:35
	НУ вам виднее
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+32 +/–
Сообщение от Аноним (2), 26-Окт-22, 10:43
Выдирать с мясом это вот всё потом, в будущем, будет очень неприятно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	–13 +/–
	Сообщение от Шарп (ok), 26-Окт-22, 11:01
	Маняфантазии. Systemd уже победили? >всё потом, в будущем Бог накажет, накажет!!!111
	Ответить \| Правка \| Наверх \| Cообщить модератору


	131. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	–6 +/–
	Сообщение от лютый жабби.... (?), 26-Окт-22, 13:40
	>Systemd уже победили? ну в моем дистрибе системГ нет и не было, причём дистриб конфетка - даже лучше арча
	Ответить \| Правка \| Наверх \| Cообщить модератору


	159. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+10 +/–
	Сообщение от муу (?), 26-Окт-22, 14:28
	не ври, в винде системд уже есть
	Ответить \| Правка \| Наверх \| Cообщить модератору


	227. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+3 +/–
	Сообщение от Аноним (227), 26-Окт-22, 18:09
	Винда не самый лучший дистриб, далеко не лучший.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	379. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от AxaRu (?), 28-Окт-22, 07:32
	Да что же ты такое несешь?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	267. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от Аноним (267), 26-Окт-22, 20:49
	Artix?
	Ответить \| Правка \| К родителю #131 \| Наверх \| Cообщить модератору


	339. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+1 +/–
	Сообщение от x230 (ok), 27-Окт-22, 16:27
	Artix еще нестабилен. Юзал его плазменную версию два года. Многовато глюков... Перешёл на Calculate (Plasma) вначале октября. Полёт нормальный!..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	422. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от shardddin (?), 29-Окт-22, 19:25
	А точнее можно? Что за дистр?
	Ответить \| Правка \| К родителю #131 \| Наверх \| Cообщить модератору


	160. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+8 +/–
	Сообщение от Аноним (160), 26-Окт-22, 14:29
	Скоро опеннет эксперты-программисты собирутся и сделают свой линукс. Без systemd, pulseaudio, wayland, rust и прочего блоата. "Маняфантазии" тут только у тех кто не верит в экспертизу опеннет.
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	196. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от Аноним (196), 26-Окт-22, 16:42
	нахрен это моно-полублоатварь нужна лучше взяться допиливать гайку
	Ответить \| Правка \| Наверх \| Cообщить модератору


	200. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+1 +/–
	Сообщение от Аноним (200), 26-Окт-22, 16:48
	Гайкой пусть занимаются латентные проприетарщики. Думаешь мы не знаем, что программисты Гайки раньше пилили БеОС.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	207. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+1 +/–
	Сообщение от Аноним (196), 26-Окт-22, 17:08
	какая хрен разница, сейчас всё открыто или тут какие-то сектанские убеждения имеют место быть?..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	268. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+1 +/–
	Сообщение от Аноним (267), 26-Окт-22, 20:52
	Где брать дрова для гайки?
	Ответить \| Правка \| К родителю #196 \| Наверх \| Cообщить модератору


	277. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от Аноним (277), 26-Окт-22, 23:30
	Что, опять невидия не заводится?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	213. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от Аноним (-), 26-Окт-22, 17:18
	Зачем собираться, уже сделали. Только вас мы не позавем.
	Ответить \| Правка \| К родителю #160 \| Наверх \| Cообщить модератору


	245. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от Анонимыч (?), 26-Окт-22, 19:05
	Откатится можно в хрен знает какой год и там это уже все есть или наоборот отсутствует.
	Ответить \| Правка \| К родителю #160 \| Наверх \| Cообщить модератору


	349. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+2 +/–
	Сообщение от Аноним (349), 27-Окт-22, 18:41
	> Без systemd, pulseaudio, wayland, rust и прочего блоата И без питона, разумеется. В каждую вторую новость о питоне столько анонимных хейтеров набегает же :)
	Ответить \| Правка \| К родителю #160 \| Наверх \| Cообщить модератору


	215. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+5 +/–
	Сообщение от Аноним (215), 26-Окт-22, 17:21
	Не гневи Бога. Один линуксоид как-то пожелал одной зазнавшейся корпорашке, чтоб они в аду горели. И что, думаешь, случилось? Новые карточки Невидии плавятся и горят!
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	225. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	–1 +/–
	Сообщение от Аноним (227), 26-Окт-22, 18:07
	А у Мелкосаксов что может случиться, GitHub ляжет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	380. "Леннарт Поттеринг предложил новую архитектуру верифицированн..."	+/–
	Сообщение от AxaRu (?), 28-Окт-22, 07:34
	Сейчас правильно их называть Мелкосатанисты.
	Ответить \| Правка \| Наверх \| Cообщить модератору