| |
| 2.3, asdasd (?), 09:27, 09/06/2021 [^] [^^] [^^^] [ответить]
| –6 +/– |
Он работает, или вам его тоже переписать на Lisp и непонятные динамические конфиги, которые хз как настраивать?
А в эпоху UEFI загрузчики вообще уже отжили свое, rEFInd наше все.
| | |
| |
| 3.4, eganru (?), 09:29, 09/06/2021 [^] [^^] [^^^] [ответить]
| +13 +/– |
А в эпоху UEFI - в черную эпоху ненужного нормальному человеку UEFI.
| | |
| |
| 4.14, kusb (?), 10:10, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Там наворотили хаоса и secure boot, но концептуально почему uefi настолько "Чёрная"? Вроде почти хороший тип прошивки.
| | |
| 4.132, Тот_Самый_Анонимус (?), 07:31, 15/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Инструкция как обгадить что-то, не имея адекватных аргументов:
1. Найти то, что вам не по душе.
2. Причислить себя к «нормальным», не приводя, естественно, никаких аргументов.
3. Сказать что нечто, неприятное вам нормальным людям не нужно. Желательно не приводя аргументов.
4. PROFIT.
| | |
|
| |
| |
| |
| |
| 7.95, Онаним (?), 00:52, 10/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Хмхм, не знал, что они gummiboot удочерили.
Надо попробовать.
| | |
|
|
|
|
| 3.28, Аноним (28), 11:11, 09/06/2021 [^] [^^] [^^^] [ответить]
| +7 +/– | |
> А в эпоху UEFI загрузчики вообще уже отжили свое, rEFInd наше все.
А rEFInd разве сам по себе не загрузчик?
Вообще, можно юзать ядро с EFI Stub и грузить его безо всяких загрузчиков.
| | |
| |
| 4.83, Аноним (83), 20:17, 09/06/2021 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>Вообще, можно юзать ядро с EFI Stub и грузить его безо всяких загрузчиков.
Всячески одобряю! Собственно это и есть самый грамотный способ загрузки, особенно если нужна реальная секьюрность со своими собственными сертификатами и подписью ядра.
| | |
| |
| 5.87, Begs (ok), 21:49, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
 >секьюрность
А полнодисковое шифрование ты как без граба сделаешь? Буткиты никто не отменял.
| | |
| |
| 6.97, Аноним (83), 08:41, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Товарищ, накой вам пёс сдалось шифровать весь диск? Для использования UEFI вам всё равно требуется загрузочный раздел в FAT32, на нём и лежит подписанное вами же ядро, а значит скомпрометировать вас уже не получится никак. Дальше идёт прямая загрузка, уже точно вашего ядра, которое и монтирует зашифрованный том.
| | |
| 6.98, Аноним (83), 08:41, 10/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Товарищ, накой вам пёс сдалось шифровать весь диск? Для использования UEFI вам всё равно требуется загрузочный раздел в FAT32, на нём и лежит подписанное вами же ядро, а значит скомпрометировать вас уже не получится никак. Дальше идёт прямая загрузка, уже точно вашего ядра, которое и монтирует зашифрованный том.
| | |
| |
| 7.111, Begs (ok), 13:09, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Товарищ, накой вам пёс сдалось шифровать весь диск? Для использования UEFI вам
> всё равно требуется загрузочный раздел в FAT32, на нём и лежит
> подписанное вами же ядро, а значит скомпрометировать вас уже не получится
> никак. Дальше идёт прямая загрузка, уже точно вашего ядра, которое и
> монтирует зашифрованный том.
А кто будет проверять подпись ядра, если это EFISTUB и потенциально скомпрометированное ядро сразу же выгружается в оперативку и начинает работать?
| | |
|
| 6.100, Аноним (83), 08:53, 10/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
На всякий случай поясню, что всё описанное выше, подразумевает, что ваш inittarm, который вкорячивается вместе с ядром в EFI Stub должен чекнуть сигнатуры полученные от UEFI, прежде чем запрашивать пароль.
| | |
| |
| 7.112, Begs (ok), 13:11, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> На всякий случай поясню, что всё описанное выше, подразумевает, что ваш inittarm,
> который вкорячивается вместе с ядром в EFI Stub должен чекнуть сигнатуры
> полученные от UEFI, прежде чем запрашивать пароль.
>inittarm
Стесняюсь спросить, а что это? Даже гугл не знает. Если речь про initramfs, то что мешает скомпрометировать и ее?
| | |
|
| 6.106, kmeaw (?), 08:01, 11/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
А чем полнодисковое шифрование поможет от буткитов? Что помешает малвари спросить у пользователя пароль для расшифровки /boot, а потом запатчить загрузочный образ?
Как в /boot может появиться секрет, требующий шифрование? Разве что положить в initramfs ключ для расшифровки всего остального диска, и использовать TPM с Secure Boot, чтобы защититься от буткитов. Но в случае работающего TPM лучше хранить ключ там, а /boot держать незашифрованным.
| | |
| |
| 7.114, Begs (ok), 14:25, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> А чем полнодисковое шифрование поможет от буткитов?
Твое ядро лежит на зашифрованном разделе, и без расшифровки раздела подменить или что-то с ним сделать никак не получится. На биос поставить пароль и сделать secure boot, чтобы с грабом на ESP ничего не сделали.
| | |
|
|
|
| 4.101, asdasd (?), 11:09, 10/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
rEFInd не загрузчик, он просто перенаправляет и все. Дистрибутив без EFI Stub он не загрузит.
| | |
|
| 3.90, Begs (ok), 22:02, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
rEFInd не умеет в XFS, F2FS и кучу других ФС, а уж тем более в LVM/LUKS. Этого уже достаточно, чтобы его выкинуть.
| | |
| 3.128, Аноним (128), 00:15, 12/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> А в эпоху UEFI загрузчики вообще уже отжили свое, rEFInd наше все.
Зачем вообще rEFInd если UEFI-шный "биос" сам всё находит и загружает? Не для этого-ли его изобретали?
| | |
|
| 2.12, iCat (ok), 10:02, 09/06/2021 [^] [^^] [^^^] [ответить]
| +9 +/– |
 >LILO живой или ушел в мир иной?
Последняя версия lilo-24.2 (22 ноября 2015)
Была ещё попытка создать elilo, но в 2014 году проект сдох...
Сам грущу по lilo...
Этот жирнющий GRUB с его перенавороченной архитектурой бесит...
| | |
| |
| |
| |
| 5.129, бедный буратино (ok), 02:19, 12/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
 loadlin.EXE или LINLD.com. второй намного лучше, работает и с большими ядрами и initrd и с другими вещами, что не может loadlin
| | |
|
|
| 3.102, asdasd (?), 11:09, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
lilo как работал так и работает, зачем его обновлять?
elilo изначально не нужен был, ибо EFI Stub.
| | |
|
|
| 1.5, Аноним (5), 09:31, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>По умолчанию отключена утилита os-prober
Отлично. Задолбался каждый раз добавлять вручную.
| | |
| 1.6, Аноним (6), 09:38, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
Зачем нужен этот кривой перегруженный монстр, когда есть systemd-boot?
| | |
| |
| 2.23, Аноним (23), 10:55, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нужен для тех, у кого не Arch Linux, и/или у кого всё ещё нет EFI в 2021 году. Systemd-boot не работает если название ядра меняется каждое обновление, как это происходит, например, в Ubuntu. В Arch Linux же название ядра не меняется до тех пор, пока сам вручную не заменишь ядро на другую разновидность (например, пакет linux на пакет linux-lts).
| | |
| |
| 3.48, Anonimous (?), 12:44, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>> Systemd-boot не работает если название ядра меняется каждое обновление, как это происходит, например, в Ubuntu.
работавет через pacman hooks
| | |
| |
| |
| 5.54, Anonimous (?), 13:12, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
чуть не внимательно прочитал. Так то в убунту есть post-install hook при создании пакетов которым можно делать тоже самое
| | |
|
|
| 3.94, Аноним (94), 23:57, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
ЧТо?
"и/или у кого всё ещё нет EFI в 2021 году"
Ставьте Tincore и работайте себе с EFI системой.
Grub не только под загрузку с BIOS систем, но также и с EFI.
systemd-boot форк форка, можно, но не нужно)
| | |
| 3.96, helloworld (?), 04:41, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> не заменишь ядро на другую разновидность (например, пакет linux на пакет linux-lts)
Зачем "менять", когда оба пакета можно поставить рядом?
| | |
| 3.121, Аноним (118), 18:17, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Это не совсем так. В Арче название для initramfs/initrd определяется хуками из пакета mkinitcpio. Их можно и переопределить через /etc/pacman.d/hooks. А если использовать другой генератор, например dracut, который используется в других дистрибутивах, то хуки и вовсе, пишутся самостоятельно.
| | |
|
| 2.55, Аноним (55), 13:33, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
systemd-boot научился грузить ядра с ext4? (не ради холивара спрашиваю)
| | |
| |
| |
| |
| 5.120, Аноним (118), 18:09, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
У меня /boot{,/EFI} отдельным разделом, /{,home} на LUKS2. systemd-boot (без GRUB2) более, чем достаточно для загрузки.
| | |
|
|
| 3.89, BlackRot (ok), 21:55, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 научился, но при условии что данные не зашифрованы. и здесь только граб может помочь из всех существующих загрузчиков
| | |
| |
| |
| 5.127, BlackRot (ok), 21:03, 11/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
всё может быть зашифровано кроме /boot/efi но грузить шифрованный /boot с другого раздела может только граб
| | |
|
| 4.123, Аноним (118), 18:22, 11/06/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
И Grub никак не сможет помочь, если загрузка в EFI режиме. Потому-что /boot/EFI не может быть зашифрован by design. Все претензии к Microsoft.
| | |
| |
| 5.126, BlackRot (ok), 21:01, 11/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
само собой говорим об uefi
но речь не о /boot/EFI это понятно что его шифровать не выйдет
речь о шифрованном /boot на другом разделе
| | |
| |
| 6.130, Аноним (130), 16:56, 12/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
А есть какой-то практический смысл шифровать /boot, если загрузчик из /boot/EFI всё равно может быть скомпрометирован? Проще же весь /boot раздел хранить отдельно от диска, на шлешке, или подписывать файлы (initramfs, etc) на нём в дополнение к UEFI. В этих файлах обычно ничего секретного нет, если их прочитают. А если перезапишут - мы узнаем.
| | |
|
|
|
|
|
| 1.19, Николай (??), 10:41, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Народ, что может быть, какой линукс не ставил, запускаются долго, у меня ссд, выключается монитор и проходит около 1 мин, и тогда загружается на раб стол. Это у меня так или у всех?
| | |
| |
| 2.21, Чокнутый виндузятник (?), 10:51, 09/06/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Для ссд всё же довольно долго грузится, а монитор выключается из-за того, что мышкой не шевелите. Обычно надо на такое минут 5-10, но у вас кажется крутой монитор или грузится уж больше чем минута.
| | |
| |
| 3.58, Николай (??), 14:04, 09/06/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Монитор гаснет, и индикатор тоже, дело не в шевелении мышкой, я думаю, может дело именно в GRUB
| | |
| |
| |
| 5.85, Аноним (83), 20:26, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не пытайтесь помочь этому человеку самостоятельно - бригада санитаров уже в пути.
| | |
|
|
|
| 2.31, IRASoldier_registered (ok), 11:33, 09/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Какое-то экзотическое оборудование, вероятно, плохо поддерживаемое драйверами в Linux. Загрузка с SSD должна быть быстрой.
| | |
| 2.41, Псевдоним (??), 12:22, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
В любой непонятно ситуации смотри логи.
Прочекай оборудование (тот же ссд).
Судя по тому что ты ставил разные "линуксы", то дело не в системе инициализации, но я бы все равно на всякий случай проверил когда и как долго сервисы запускаются.
| | |
| 2.59, Аноним (59), 14:18, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Возможно глупость скажу, но я бы проверил соответствие UUID дисков в fstab - было подобное зависание после кучи установок всяких дистров (несоответствовал UUID swap-раздела)
| | |
| 2.62, AlexYeCu_not_logged (?), 14:56, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Смотри логи.
Очень похоже, что в системе есть какая-то железяка (или контроллер на какой-то железяке), к которому нет драйвера рабочего. И вот в течение этой самой минуты происходит поиск (безуспешный) этого драйвера.
Один из самых известных примеров — usb-хаб на видеокартах от NVIDIA. Не знаю, как сейчас, а год назад он точно не поддерживался даже последними ядрами. При этом у самой видеокарты usb-выходов может и не быть, но контроллер присутcтвует. Решение — заблэклистить контроллер.
Ещё вариант — какой-то демон не стратует. Сетевой ресурс не доступен во время загрузки или ещё чего. Вот пока таймаут systemd не выйдет (тоже настраивается), загрузка будет приостановлена. А монитор, вероятно, успеет за это время выключиться.
| | |
| 2.66, СеменСеменыч777 (?), 16:00, 09/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
я предполагаю что дохнет ssd. поставьте нормальную железку с блинами того же или большего размера, через clonezilla перекиньте содержимое и вперед.
| | |
| 2.70, Ordu (ok), 16:57, 09/06/2021 [^] [^^] [^^^] [ответить] | +2 +/– |  Выломай из системы все няшные заставочки, которые рисуют картинки с самых ранних... большой текст свёрнут, показать | | |
| |
| 3.91, Аноним (91), 22:04, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Обычно нажать в процессе загрузки esc достаточно, чтобы все эти заставки скрыть к такой-то матери
| | |
|
| 2.104, Аноним (104), 12:07, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Крутится там в загрузке какой-нить багованный сервис который задерживает всё остальное
| | |
|
| 1.20, Аноним (20), 10:50, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
Его написали, чтоб Виндоус загружать. Вернее, чтобы можно было при рабочей виндоус какой-нибудь линукс иногда загрузить. Почему этот невменяемый многомногомегабайтный загрузчик для дуалбутчиков остается по умолчанию везде? Дуалбутчики давно уже линуксы всякие под виндоус в виртуалбоксе ганяют? В чем смысл существования этого кошмара?
| | |
| |
| |
| 3.25, Аноним (20), 10:59, 09/06/2021 [^] [^^] [^^^] [ответить]
| –7 +/– |
Перед груб2 был просто груб. Для поддержки виндовсого уефи модернизировали до груб2, добавив много мегабайт без инструкции не разберешься чего и непонятно для чего. Уже вот линукс прямо в виндоусе запускается, а тут кто-то продолжает выпускать новые версии груба. В чем прикол?
| | |
| |
| 4.63, AlexYeCu_not_logged (?), 14:58, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В чем прикол?
Прикол в том, что ты — виндузятник, который припёрся на ресурс с названием OpenNet и чего-то тут пытаешься пропагандировать.
| | |
|
|
| |
| 3.124, Аноним (118), 18:33, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> запускать Windows
Никто не писал, что "не нужно"? Или модераторы потерли?
| | |
|
| 2.42, Псевдоним (??), 12:24, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Скорее наоборот винду под виртуалкой. Гонять линукс в виртуалке на винде это как из тюремной камеры смотреть как живут в райском местечке.
| | |
| 2.45, nebularia (ok), 12:31, 09/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Почему этот невменяемый многомногомегабайтный загрузчик для дуалбутчиков остается по умолчанию везде?
Потому, что гибкий и мощный, способен завести очень сложные конфигурации, имеет приличный CLI, из которого (пусть и с гуглом) можно загрузить систему, если всё сломалось.
То, что он большой, имеет мало значения в выборе дефолта, всё равно исчисляются размеры максимум мегабайтами. Хотите проще и быстрее - ставьте Syslinux или systemd-boot для UEFI.
| | |
| |
| 3.52, Аноним (52), 13:02, 09/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Когда всё сломалось, получить помощь гугла бывает затруднительно.
| | |
|
| 2.67, InuYasha (??), 16:11, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Воддийствитильно...
Я в дуалбуте использую виндовый загрузчик (чтобы Шиндовс-упдейт не угробил мне линукс), и считаю, что это самый надёжный вариант.
Хотя, wait, oh shi-, он же грузит груб! :D
А груб грузит всё.
Груб это мощь!
| | |
| |
| 3.107, nebularia (ok), 11:26, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> А груб грузит всё.
При загрузке винды GRUB так же торкнет виндовый загрузчик. Так что не надо про всё, граб грузить линь, виндовый - винду.
| | |
|
|
| 1.30, Аноним (30), 11:31, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
>> SBAT (UEFI Secure Boot Advanced Targeting)
Extended Advanced Unbreakable Trusted Secure Boot Extension (c)
Universal Protected Safe Secure Loader (R)
Restricted Isolation Boot Technology (tm)
Secure Signed Boot Sequence Layer
Enriched System Preload Image Hub
Enhanced Reliable Boot Module
Linux Standart Boot Management Kernel Interface
ну ну
| | |
| |
| 2.43, Псевдоним (??), 12:26, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
"Обещали безопасность, безопасность есть, а то что защищать будет не обещали" (C)
| | |
|
| 1.57, Аноним (57), 13:53, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Добавлена поддержка формата шифрования дисков LUKS2
Джва года ждал.
Теперь можно не иметь отдельный незашифрованый раздел под /boot
| | |
| |
| 2.113, Аноним (113), 14:23, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
И ещё ~джва~ года подождать осталось, чтобы argon2i (который в luks2 по умолчанию) добавили.
Предвкушаю как хомяки пойдут биться лбом. Сейчас можно использовать только старый метод pkbf2 для ключей.
| | |
| 2.125, Аноним (118), 18:46, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Так, вроде, патчи на LUKS2 ещё два года назад и смержили. Даже в Арч бэкпортировали. А сейчас просто официальный релиз вышел. Неспеша.
| | |
| 2.131, penetrator (?), 02:26, 14/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
хз федора якобы LUKS1 поддерживает, когда в инсталлере выбираешь зашифровать /boot пишет бут не может быть зашифрован, WTF
и еще допустим наконец все починили, кто защитит граб от подмены? нужен хотя бы sedutil и TCG Opal, т.е. двойное шифрование аппаратное + LUKS
secure boot насколько я знаю с линухой не работает, там грузится только shim
и да LUKS - тормозной, процентов 30-40 скорости дисковой подистемы теряется, что не есть хорошо, тот же DiskCryptor под вин жрет 3-5%
меня прилично расстраивает такое положение вещей для линукс
| | |
|
| 1.72, Kuromi (ok), 17:23, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Загрузку с F2FS таки добавили или нет? Несколько лет обещают, а воз и ныне там.
| | |
| |
| |
| 3.93, Kuromi (ok), 23:37, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> grub-2 давно грузится с f2fs, ради того и перешёл с lilo.
А ну чудно. А то из их списка рассылки совершенно невозможно понять какие фичи реально реализованы.
| | |
|
|
| 1.75, Big Robert TheTables (?), 18:00, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
этой зимой использовал lilo для загрузки с nvme на китайской материнке с ксеоном с алиэкспресса. Без какого-либо умысла, просто столкнувшись с какими-то сложностями груба, решил дать шанс старому лило. Без проблем. Поставил и забыл.
| | |
| 1.133, Аноним (133), 09:52, 19/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Прекращена поддержка коротких MBR gap (область между MBR и началом дискового раздела, в GRUB используется для хранения части загрузчика, не умещающейся в сектор MBR).
Это очень плохо. Я туда пихал core.img + модули_расшифровки_/boot + публичный_ключ_и_модули_проверки_подписей
> Устранены уязвимости BootHole и BootHole2.
А их и не было, из-за дополнительных проверок загрузчик разжирел и перестал влазить в "область между MBR и началом дискового раздела"!!! Это умышленное вредительство.
> Реализован механизм lockdown
Звучит заманчиво.
| | |
|
