Исправление
sanyo1234,
(текущая версия)
:
Ты, конечно, можешь раскопать старинный coreboot, - но зачем?
У меня складывается впечатление, что закладки добавляют везде, в Coreboot и Libreboot вероятно тоже. Поэтому более старые версии Coreboot и LinuxBIOS были бы предпочтительнее, потому что моя цель не получить наиболее комфортный и функциональный открытый BIOS, а получить BIOS с минимальным количеством закладок и чтобы закладки были как можно менее современные.
Почему с сайта Coreboot потерли все старые релизы? Это наводит на плохие мысли.
При большом желании можно 1) всё же урезать современный буткит до достаточно небольших размеров
Его еще надо как-то умудриться (если удаленно) прошить в компик, у которого запущен и открыт только сервис PXE. Кроме того старые компы часто с колодками под BIOS, их легко бэкапить и сверять, вероятно можно найти readonly чипы, а для 386/486 они readonly сразу в стоке?
если не удаётся, то создать минималистичный загрузчик буткита (без основной вредоносной части) и поместить его на твою материнку, так что при каждой загрузке ПК этот загрузчик будет тащить буткит из внешнего источника: или с сервера в интернете (+ там будут оперативные обновления для буткита), или хотя бы из твоего домашнего роутера - который сейчас наверняка стоит с дырявой проприетарной прошивкой, да и свободного места в нём предостаточно.
Пока предлагаю PXE сервер включать только временно одиночным кабелем для загрузки нужных компов. Т.е. на старте и большую часть времени PXE сервер вообще не будет никуда подключен и соответственно ему неоткуда догрузить тело буткита.
Неперешиваемый доисторический недокомпик, который нужен только для PXE раздачи современных ядер
Всё же не понимаю, как это добавит безопасности железу, которое будет с него через PXE грузиться? Если там в прошивках проприетарщина, то этим её не вылечишь, а если опенсорс - то это просто не нужно.
Хотелось бы унифицировать источник загрузки и гарантировать его немутабельность, что IMHO сделать сложнее или даже невозможно для разных моделей современных железок. Например легче найти только один достаточно старый привод CDROM, легче проверять аутентичность всего одной CDROM болванки, а не нескольких. Теоретически можно даже организовать процедуру какой-то регулярной чистки-сброса прошивок всех компов в дефолтное состояние, но при этом актуальные ядра и скрипты загрузки поддерживать только на одном унифицированном PXE сервере, что IMHO удобнее.
не связываться с Libreboot и вообще GNU-тым софтом
Если не нравится libreboot, можешь и coreboot собрать - под либребутную плату там бинарных блобов не добавится.
Libreboot ведь сделан на базе Coreboot? В смысле своей принадлежности к GNU софту они почти не отличаются друг от друга. Да и все же IMHO тип лицензии никак не влияет на наличие закладок, закладки точно также можно навставлять и в BSD и куда угодно.
Исправление
sanyo1234,
:
Ты, конечно, можешь раскопать старинный coreboot, - но зачем?
У меня складывается впечатление, что закладки добавляют везде, в Coreboot и Libreboot вероятно тоже. Поэтому более старые версии Coreboot и LinuxBIOS были бы предпочтительнее, потому что моя цель не получить наиболее комфортный и функциональный открытый BIOS, а получить BIOS с минимальным количеством закладок и чтобы закладки были как можно менее современные.
Почему с сайта Coreboot потерли все старые релизы? Это наводит на плохие мысли.
При большом желании можно 1) всё же урезать современный буткит до достаточно небольших размеров
Его еще надо как-то умудриться (если удаленно) прошить в компик, у которого запущен и открыт только сервис PXE. Кроме того старые компы часто с колодками под BIOS, их легко бэкапить и сверять, вероятно можно найти readonly чипы, а для 386/486 они readonly сразу в стоке?
если не удаётся, то создать минималистичный загрузчик буткита (без основной вредоносной части) и поместить его на твою материнку, так что при каждой загрузке ПК этот загрузчик будет тащить буткит из внешнего источника: или с сервера в интернете (+ там будут оперативные обновления для буткита), или хотя бы из твоего домашнего роутера - который сейчас наверняка стоит с дырявой проприетарной прошивкой, да и свободного места в нём предостаточно.
Пока предлагаю PXE сервер включать только временно одиночным кабелем для загрузки нужных компов. Т.е. на старте и большую часть времени PXE сервер вообще не будет никуда подключен и соответственно ему неоткуда догрузить тело буткита.
Неперешиваемый доисторический недокомпик, который нужен только для PXE раздачи современных ядер
Всё же не понимаю, как это добавит безопасности железу, которое будет с него через PXE грузиться? Если там в прошивках проприетарщина, то этим её не вылечишь, а если опенсорс - то это просто не нужно.
Хотелось бы унифицировать источник загрузки и гарантировать его немутабельность, что IMHO сделать сложнее или даже невозможно для разных моделей современных железок. Например легче найти только один достаточно старый привод CDROM, легче проверять аутентичность всего одной CDROM болванки, а не нескольких. Теоретически можно даже организовать процедуру какой-то регулярной чистки-сброса прошивок всех компов в дефолтное состояние, но при этом актуальные ядра и скрипты загрузки поддерживать только на одном унифицированном PXE сервере, что IMHO удобнее.
не связываться с Libreboot и вообще GNU-тым софтом
Если не нравится libreboot, можешь и coreboot собрать - под либребутную плату там бинарных блобов не добавится.
Libreboot ведь сделан на базе Coreboot? В смысле своей принадлежности в GNU софту они почти не отличаются друг от друга. Да и все же IMHO тип лицензии никак не влияет на наличие закладок, закладки точно также можно навставлять и в BSD и куда угодно.
Исходная версия
sanyo1234,
:
Ты, конечно, можешь раскопать старинный coreboot, - но зачем?
У меня складывается впечатление, что закладки добавляют везде, в Coreboot и Libreboot вероятно тоже. Поэтому более старые версии Coreboot и LinuxBIOS были бы предпочтительнее, потому что моя цель не получить наиболее комфортный и функциональный открытый BIOS, а получить BIOS с минимальным количеством закладок и чтобы закладки были как можно менее современные.
Почему с сайта Coreboot потерли все старые релизы? Это наводит на плохие мысли.
При большом желании можно 1) всё же урезать современный буткит до достаточно небольших размеров
Его еще надо как-то умудриться (если удаленно) прошить в компик, у которого запущен и открыт только сервис PXE. Кроме того старые компы часто с колодками под BIOS, их легко бэкапить и сверять, вероятно можно найти readonly чипы, а для 386/486 они readonly сразу в стоке?
если не удаётся, то создать минималистичный загрузчик буткита (без основной вредоносной части) и поместить его на твою материнку, так что при каждой загрузке ПК этот загрузчик будет тащить буткит из внешнего источника: или с сервера в интернете (+ там будут оперативные обновления для буткита), или хотя бы из твоего домашнего роутера - который сейчас наверняка стоит с дырявой проприетарной прошивкой, да и свободного места в нём предостаточно.
Пока предлагаю PXE сервер включать только временно одиночным кабелем для загрузки нужных компов.
Неперешиваемый доисторический недокомпик, который нужен только для PXE раздачи современных ядер
Всё же не понимаю, как это добавит безопасности железу, которое будет с него через PXE грузиться? Если там в прошивках проприетарщина, то этим её не вылечишь, а если опенсорс - то это просто не нужно.
Хотелось бы унифицировать источник загрузки и гарантировать его немутабельность, что IMHO сделать сложнее или даже невозможно для разных моделей современных железок. Например легче найти только один достаточно старый привод CDROM, легче проверять аутентичность всего одной CDROM болванки, а не нескольких. Теоретически можно даже организовать процедуру какой-то регулярной чистки-сброса прошивок всех компов в дефолтное состояние, но при этом актуальные ядра и скрипты загрузки поддерживать только на одном унифицированном PXE сервере, что IMHO удобнее.
не связываться с Libreboot и вообще GNU-тым софтом
Если не нравится libreboot, можешь и coreboot собрать - под либребутную плату там бинарных блобов не добавится.
Libreboot ведь сделан на базе Coreboot? В смысле своей принадлежности в GNU софту они почти не отличаются друг от друга. Да и все же IMHO тип лицензии никак не влияет на наличие закладок, закладки точно также можно навставлять и в BSD и куда угодно.