[Цитировать]

    puhpol
  • 2
  • Стаж: 9 лет
  • Сообщений: 888
  • Репутация:74

    [+] [-]
14630(пусть и недолгие, но совершенно непонятные без инструкции) действия заново. Что совершенно неинтересно..
Да, без инструкции сложно....Правда когда прочитал, все понятно стало.......Все просто.
Вопрос в том что мне пока не повторить успешную загрузку.....

[Цитировать]

    puhpol
  • 2
  • Стаж: 9 лет
  • Сообщений: 888
  • Репутация:74

    [+] [-]
В общем пересобрал все это дело, на виртуалке даже запустилось....
То есть , из за невнимательности не правильно назвал REFIND. Что в итоге помогло хоть что то понять....
Опять же можно будет сделать видео инструкцию с виртуальной машины.....
Судя по всему сертификат прописывается куда то на флешку.....
Так, мысли в слух. Что бы не забыть....

[Цитировать]

    zxen
  • 32
  • Стаж: 9 лет
  • Сообщений: 263
  • Репутация:21

    [+] [-]
  • Откуда: Siberia
puhpol, На виртуалке с Secure Boot..? Это на какой?

[Цитировать]

    puhpol
  • 2
  • Стаж: 9 лет
  • Сообщений: 888
  • Репутация:74

    [+] [-]
zxen, Привет . Не ......
Просто запустил загрузчик Shim и посмотрел как оно работает..... Блин, не могу сейчас четко сформулировать, курю мануалы все на буржуйском, мозги в разные стороны разбегаются... bm

это что бы не потерялось.

"Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.
В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.
Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.
"

[Цитировать]

    puhpol
  • 2
  • Стаж: 9 лет
  • Сообщений: 888
  • Репутация:74

    [+] [-]
Приветствую господа!
Есть у кого нибудь желание попробовать загрузку с включенным Secure Boot?
Напишу инструкцию.

[Цитировать]

    Jurik43
  • 115
  • Стаж: 9 лет
  • Сообщений: 87
  • Репутация:0

    [+] [-]
  • Откуда: Саранск
Всем привет.
14691Есть у кого нибудь желание попробовать загрузку с включенным Secure Boot?
Давай.

[Цитировать]

    puhpol
  • 2
  • Стаж: 9 лет
  • Сообщений: 888
  • Репутация:74

    [+] [-]
Jurik43, Приветствую!
К вечеру соберу и распишу чего сделать надо...

[Цитировать]

    Ska
  • 1857
  • Стаж: 9 лет
  • Сообщений: 10
  • Репутация:0

    [+] [-]
Здравствуйте. Пытаюсь прикрутить данный пакет к флешке с двумя разделами (EFI\NTFS), созданной UTMake. Закидываю пакет на основной раздел (NTFS). При тесте через QEMU EFI64 просто загружает командную строку GRUB2, при тесте EFIx32 rEFInd запускается, но не подгружает приложения и заданные иконки, в общем ведёт себя неподобающе. При переносе пакета на скрытый раздел с заменой изначального загрузчика (GRUB2) всё запускается как надо. Как сделать, чтобы rEFInd запускался с ntfs раздела?

[Цитировать]

    puhpol
  • 2
  • Стаж: 9 лет
  • Сообщений: 888
  • Репутация:74

    [+] [-]
Ska, Приветствую!
14905Как сделать, чтобы rEFInd запускался с ntfs раздела?
Лично я не знаю.
И считаю что куча разделов на флешке извращение, так же как пытаться загружать загрузчики и системы работающие на FAT (или другой файловой системе) в HTFS.
по этому я в этой теме не помогу.... al

[Цитировать]

    Ska
  • 1857
  • Стаж: 9 лет
  • Сообщений: 10
  • Репутация:0

    [+] [-]
14908Ska, Приветствую!
Лично я не знаю.
И считаю что куча разделов на флешке извращение, так же как пытаться загружать загрузчики и системы работающие на FAT (или другой файловой системе) в HTFS.
Да я бы и сам с удовольствием этим не занимался, если бы не ограничения FAT32 ac Понимаю, что они на данном этапе в принципе обходятся, но всё же.

[Цитировать]

    oleg_krsk
  • 952
  • Стаж: 9 лет 4 месяца
  • Сообщений: 212
  • Репутация:0

    [+] [-]
Ska я в разделе ефи вы какие файлы положили? Он формат имеет фат16? Рекомендуют такой.

[Цитировать]

    Ska
  • 1857
  • Стаж: 9 лет
  • Сообщений: 10
  • Репутация:0

    [+] [-]
14913Ska я в разделе ефи вы какие файлы положили? Он формат имеет фат16? Рекомендуют такой.
Скрытый раздел в fat16, в него не клал ничего, помимо того, что UTMake автоматом закинула, т.е файлы загрузчика GRUB2, который при загрузке флешки в режиме EFI ищет bootx64.efi на основном разделе ntfs и стартует его. Если закинуть на скрытый раздел файлы из пакета данной темы с заменой папки boot (т.е сносом grub2), то тогда стартует, что в общем логично.

[Цитировать]

    oleg_krsk
  • 952
  • Стаж: 9 лет 4 месяца
  • Сообщений: 212
  • Репутация:0

    [+] [-]
По мимо созданного раздела на флешке под уефи, туда так же нужно поместить файлы.
Можно почитать у китайцев, как они решают проблемы с UEFI
подробно со скринами

[Цитировать]

    Ska
  • 1857
  • Стаж: 9 лет
  • Сообщений: 10
  • Репутация:0

    [+] [-]
14918По мимо созданного раздела на флешке под уефи, туда так же нужно поместить файлы.
Можно почитать у китайцев, как они решают проблемы с UEFI
подробно со скринами
Файлы туда помещены, это
файлы загрузчика GRUB2, который при загрузке флешки в режиме EFI ищет bootx64.efi на основном разделе ntfs и стартует его.
Не совсем понял приложенную картинку. С китайскими рекомендациями ознакомлюсь.

[Цитировать]

    oleg_krsk
  • 952
  • Стаж: 9 лет 4 месяца
  • Сообщений: 212
  • Репутация:0

    [+] [-]
Не совсем понял приложенную картинку.
Почитайте в трансляторе вторую ссылку со скринами. Было видео где то в облаке, если найду выложу здесь.


Последний раз редактировалось: oleg_krsk (2015-11-23 12:44), всего редактировалось 2 раз(а)

Страница 2 из 14


Показать сообщения:    

Текущее время: 31-Окт 10:31

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы