puhpol
- Стаж: 9 лет
- Сообщений: 888
- Репутация:74[+] [-]
|
14630(пусть и недолгие, но совершенно непонятные без инструкции) действия заново. Что совершенно неинтересно.. Да, без инструкции сложно....Правда когда прочитал, все понятно стало.......Все просто. Вопрос в том что мне пока не повторить успешную загрузку.....
|
zxen
- Стаж: 9 лет
- Сообщений: 263
- Репутация:21[+] [-]
- Откуда: Siberia
|
puhpol, На виртуалке с Secure Boot..? Это на какой?
|
puhpol
- Стаж: 9 лет
- Сообщений: 888
- Репутация:74[+] [-]
|
zxen, Привет . Не ...... Просто запустил загрузчик Shim и посмотрел как оно работает..... Блин, не могу сейчас четко сформулировать, курю мануалы все на буржуйском, мозги в разные стороны разбегаются... это что бы не потерялось."Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои. В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx. Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы. В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет. Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет. Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно."
|
puhpol
- Стаж: 9 лет
- Сообщений: 888
- Репутация:74[+] [-]
|
Приветствую господа! Есть у кого нибудь желание попробовать загрузку с включенным Secure Boot? Напишу инструкцию.
|
Jurik43
- Стаж: 9 лет
- Сообщений: 87
- Репутация:0[+] [-]
- Откуда: Саранск
|
Всем привет.14691Есть у кого нибудь желание попробовать загрузку с включенным Secure Boot? Давай.
|
puhpol
- Стаж: 9 лет
- Сообщений: 888
- Репутация:74[+] [-]
|
Jurik43, Приветствую! К вечеру соберу и распишу чего сделать надо...
|
Отправлено: 23-Ноя-2015 10:23
(спустя 2 дня 18 часов)
Ska
- Стаж: 9 лет
- Сообщений: 10
- Репутация:0[+] [-]
|
Здравствуйте. Пытаюсь прикрутить данный пакет к флешке с двумя разделами (EFI\NTFS), созданной UTMake. Закидываю пакет на основной раздел (NTFS). При тесте через QEMU EFI64 просто загружает командную строку GRUB2, при тесте EFIx32 rEFInd запускается, но не подгружает приложения и заданные иконки, в общем ведёт себя неподобающе. При переносе пакета на скрытый раздел с заменой изначального загрузчика (GRUB2) всё запускается как надо. Как сделать, чтобы rEFInd запускался с ntfs раздела?
|
Ska
- Стаж: 9 лет
- Сообщений: 10
- Репутация:0[+] [-]
|
14908Ska, Приветствую! Лично я не знаю. И считаю что куча разделов на флешке извращение, так же как пытаться загружать загрузчики и системы работающие на FAT (или другой файловой системе) в HTFS. Да я бы и сам с удовольствием этим не занимался, если бы не ограничения FAT32 Понимаю, что они на данном этапе в принципе обходятся, но всё же.
|
oleg_krsk
- Стаж: 9 лет 4 месяца
- Сообщений: 212
- Репутация:0[+] [-]
|
Ska я в разделе ефи вы какие файлы положили? Он формат имеет фат16? Рекомендуют такой.
|
Ska
- Стаж: 9 лет
- Сообщений: 10
- Репутация:0[+] [-]
|
14913Ska я в разделе ефи вы какие файлы положили? Он формат имеет фат16? Рекомендуют такой. Скрытый раздел в fat16, в него не клал ничего, помимо того, что UTMake автоматом закинула, т.е файлы загрузчика GRUB2, который при загрузке флешки в режиме EFI ищет bootx64.efi на основном разделе ntfs и стартует его. Если закинуть на скрытый раздел файлы из пакета данной темы с заменой папки boot (т.е сносом grub2), то тогда стартует, что в общем логично.
|
oleg_krsk
- Стаж: 9 лет 4 месяца
- Сообщений: 212
- Репутация:0[+] [-]
|
По мимо созданного раздела на флешке под уефи, туда так же нужно поместить файлы. Можно почитать у китайцев, как они решают проблемы с UEFI подробно со скринами
|
Ska
- Стаж: 9 лет
- Сообщений: 10
- Репутация:0[+] [-]
|
14918По мимо созданного раздела на флешке под уефи, туда так же нужно поместить файлы. Можно почитать у китайцев, как они решают проблемы с UEFIподробно со скринами Файлы туда помещены, этофайлы загрузчика GRUB2, который при загрузке флешки в режиме EFI ищет bootx64.efi на основном разделе ntfs и стартует его. Не совсем понял приложенную картинку. С китайскими рекомендациями ознакомлюсь.
|
oleg_krsk
- Стаж: 9 лет 4 месяца
- Сообщений: 212
- Репутация:0[+] [-]
|
Не совсем понял приложенную картинку. Почитайте в трансляторе вторую ссылку со скринами. Было видео где то в облаке, если найду выложу здесь.
Последний раз редактировалось: oleg_krsk (2015-11-23 12:44), всего редактировалось 2 раз(а)
|
Страница 2 из 14
Текущее время: 31-Окт 10:31
Часовой пояс: UTC + 3
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете прикреплять файлы к сообщениям Вы можете скачивать файлы
|
|