Долбаный UEFI

[red-matter]

Запускаем инсталятор Уефинский, при установки граба даётся 3 варианта.
1. В EFI раздел.
2. На жесткий диск
3 Внешнее устройство.
4 И Помощь зала.
Какой правильный с gpt разметкой ? Какая разница между этими 3 вариантами в подробностях объясните ?
Там еще у EFI раздела есть еще 2 варианта с редактированием чегото из 3 букв не помню.

[Антон Мидюков]

1. В EFI раздел

Неправильно. Записывается запись в NVRAM - микросхема на материнской плате, где хранится UEFI. Его и нужно выбирать. Но ESP раздел должен быть создан и примонтирован. Это не задача grub-efi его создавать. Он запишет в /boot/efi/ в любом случае.

[Антон Мидюков]

Какой правильный с gpt разметкой ?

Вы должны либо доверить разбиение диска автомату, либо сами создать. Если вы загружены в режиме EFI, таблица разделов создаётся GPT. Ваша задача создать раздел ESP.

[red-matter]

незнал про NVRAM

[Антон Мидюков]

Что за раздел ?

Это для того, чтобы установить grub на жёсткий диск c GPT. Не для UEFI вариант, насколько я понимаю.

[Speccyfighter]

незнал про NVRAM

С NVRAM всё намного забавнее чем кажется на первый взгляд:

https://www.kernel.org/doc/Documentation/admin-guide/kernel-parameters.txt


   efi_no_storage_paranoia [EFI; X86]
         Using this parameter you can use more than 50% of
         your efi variable storage. Use this parameter only if
         you are really sure that your UEFI does sane gc and
         fulfills the spec otherwise your board may brick.

Здесь, незабываемая эпопея, как ошибки в UEFI BIOS превращают системные платы в кирпич:

Код: [Выделить]

Could not prepare Boot variable: No space left on device

С UEFI сложилась интересная ситуация:
Со всех сторон слышны патетические лозунги о нужности UEFI. Но когда доходит до дела, до разгребания например таких свалок переменных UEFI под спойлерами, горячие сторонники UEFI исчезают и молчат. Вероятно из скромности.

... ефи режиме ...
ОФФ: вспомнил спаниеля сестры, которому подложили в миску упавший на пол кусок колбасы - он долго смотрел на него, осторожно принюхивался и не мог поверить, что это появилось само без длительного и настойчивого выклянчивания.

Спаниель умный пёс. Он сразу сообразил, что в этой свалившейся с небес халяве есть подвох:

ИМХО: Ядро защищает от записи 50% хранилища переменных efi. Если garbage collector не будет подчищать переменные, то последует отказ создания переменной по причине исчерпанного пространства. Параметр ядру efi_no_storage_paranoia снимает это ограничение и защиту. Но если вы до мельчайших деталей не знаете как вручную подчистить переменные efi (причём не через "попробуйте", а с полной уверенностью), то снятием этой защиты вы рискуете необратимо превратить вашу системную плату в кирпич. И исправляется это, перепрошивкой BIOS с заменой чипсета. Но проще будет купить новую системную плату.
Это то, о чём про UEFI скромно умалчивают.

Speccyfighter
говорила-же мне мама "Не ходи ты в лес за грибами - купи шампиньонов в магазине". Так нет ведь, попёрся с дуру за приключениями. Ну ничего, получил платный урок повышения квалификации за не очень большие деньги. Сомнения переросли в уверенность, что надо выделить пару дней и прекратить все эти сомнительные новомодные эксперименты.
Спасибо за советы и направление поиска информации.

После того как обновил BIOS с устранением опасной ошибки в UEFI BIOS, система на первой загрузке, буквально матом выругалась про не могу что-то там записать (так тебе и надо сволочь ). Это наверное надо было через фото сохранить для истории. И сейчас это уже кануло в лету.

И та эпопея с NVRAM, далеко не конец:
https://forum.altlinux.org/index.php?topic=13216.810
https://forum.altlinux.org/index.php?topic=41644

[red-matter]

Лучше ставить обычную Биосовскую с МБР систему. ДУмаю большинство плат это поддерживают.
Всё равно от GPT и UEFI никакой существенной пользы и смысла.
Чё я в этот EFI упёрся. У меня же без EFI работала нормал.

[Speccyfighter]

Лучше ставить обычную Биосовскую с МБР систему. ДУмаю большинство плат это поддерживают.

У MBR ограничение на загрузочный винчестер в 2 терабайта, - ограничение адресации дискового пространства.

Всё равно от GPT и UEFI никакой существенной пользы и смысла.
Чё я в этот EFI упёрся. У меня же без EFI работала нормал.

"Польза" от UEFI есть:
Ошибки в микрокоде BIOS, могут привести только к отказу загрузки какой-то ОС.
Ошибки в микрокоде UEFI BIOS могут привести к необратимому отказу системной платы. То что ядро защищает область переменных, для обычного пользователя большого значения не имеет. Он всё равно не разгребёт свалку переменных. Т.е. для него результат будет одним и тем же, что с защитой, что без.
К тому же Digital Security предупреждали, что если в UEFI BIOS есть ошибки безопасности, то безопасность системы под угрозой. А обновление безопасности, по сообщению Digital Security, для раннего железа, выпускала только Lenovo (обновление UEFI BIOS от 2016-го).
Плюс ещё один профит UEFI:
Пользователю впарили сырой продукт как готовый к массовому использованию. AS IS, с отказом от ответственности. И забавно тут то, что ещё за два года до массового взрыва, знали, что это может произойти. А рано или поздно, оно должно было рвануть. И оно рвануло. Линус правда в ядро потом ввернул костыль, защищающий от необратимого отказа железа, но для массового пользователя, это мало что меняет.

[red-matter]

О, вот теперь у меня восторг от моей разметки  ../msdos & No EFI /.. после этих пояснений !

[Nau]

А что происходит, если при установке с ручным разбиением не создается раздел для uefi, а загрузчик устанавливается на жесткий диск как-будто uefi  'в природе не существует'. В свое время с Росой 11 при ручном разбиении диска я получал потерю таблицы диска и необходимость восстановления биоса. Пробовал ставить alt-образование-9.1 (рядом с виндой) с ручным разбиением, проигнорировав все, что связано с uefi, на не очень новые компьютеры - в плане загрузки той или иной ОС проблем не было.

[Антон Мидюков]

А что происходит, если при установке с ручным разбиением не создается раздел для uefi, а загрузчик устанавливается на жесткий диск как-будто uefi  'в природе не существует'.

Поставите как-будто в Legacy, т.е. в MBR. Но в grub.cfg будут linuxefi и initrdefi вместо linux16 и inird16. Если это поправить, то после такой установки можно загрузиться в Legacy. Уже много таких случаев за последний год встречал, включая этот форум

[Speccyfighter]

О, вот теперь у меня восторг от моей разметки  ../msdos & No EFI /.. после этих пояснений !

Думаете там написано всё про uefi?
Обожаю вишенки на торте. Наполнитесь восторгом:

Digital Security
Безопасность как искусство
Доверенная загрузка Шрёдингера. Intel Boot Guard
https://habr.com/ru/company/dsec/blog/326556/

Можете сразу начать читать со слов:
Для понимания того, что может натворить такой руткит, нужно оценить, что даёт возможность исполнять свой код в среде UEFI BIOS

И название просто изумительное:
Доверенная загрузка Шрёдингера

[gosts 87]

Содержимое этих бинарей зашифровано, что значительно усложняет анализ (поэтому, конкретное содержание микрокода известно только тем, кто его разрабатывает)

С одной стороны -хорошо, а с другой - не очень. Мало ли что туда за содержимое запихнули.

выключение по таймауту от 1 мин до 30 мин (чтобы пользователь успел понять, по какой причине у него компьютер не грузится, и, по возможности, попытался бы восстановить BIOS);

Тоже, вроде, хорошо.

немедленное выключение (чтобы пользователь ничего не успел понять и, тем более, сделать);

продолжение работы с невозмутимым видом (тот случай когда не до безопасности, ведь есть дела поважнее).

Общение с MSI вовсе застопорилось на нашей просьбе прислать свой открытый PGP-ключ (чтобы отправить им security advisory в зашифрованном виде). Они заявили, что «являются производителем оборудования, и PGP-ключи не производят».

Больше смахивает на то, что "уязвимость" оставлена специально.

Платформы с архитектурой Intel 64 становятся всё менее пригодными для запуска свободного ПО

[rits]

https://xakep.ru/2021/01/12/core-vpro-ransomware/
Параноидальная шизофрения.

Еще один камень в их огород от torvalds-а https://xakep.ru/2021/01/11/torvalds-intel/

[Speccyfighter]

выключение по таймауту от 1 мин до 30 мин (чтобы пользователь успел понять, по какой причине у него компьютер не грузится, и, по возможности, попытался бы восстановить BIOS);

Тоже, вроде, хорошо.

Да?
Чтобы компьютер на аппаратном уровне минуя систему успел всё слить во внешку?

...

И это же ещё не конец. Шифропанки тоже предупреждали об опасности uefi. Но пользователю внедряли о прогрессивности uefi. И пользователь линукс развесил уши.

Ни один функционал не может оправдать угрозу безопасности. Я вот до сих пор в сомнении, стоит ли держать fwupd в образе xfce-sysv (хотя этот номер не пролезет с Protective MBR или MBR):
С одной стороны, это может быть полезным. С другой стороны, polkit считает любого админа root -ом. А fwupd позволяет любому админу устанавливать неподписанные прошивки. Читай машинный код, который потенциально может быть угрозой. Который может быть неизвестного происхождения. И не факт, что квалификация админа может желать лучшего.