MBR — не раздел с файлами, его/еë изменение означает прямую запись на диск (/dev/sdX и эквиваленты в других системах), чего даже в винде запущенный не от рута-администратора процесс сделать не сможет. А чем раздел с загружаемыми UEFI файлами отличается от любого другого раздела с FAT-ом, кроме назначения находящихся на нëм данных?

Плохо вам помнится, введение Secure Boot аргументировали борьбой с вредоносным ПО.

Врёте, мелкомягкие никогда не будут идти против собственного поделия! Нет им выгоды в запрете форточек!

ты совсем дурачок, такая ГРАМОТНАЯ аргуметнация, что смешно. ESP - Раздел с файлами, его изменение означает прямую запись на диск(/dev/sdx1 и эквиваленты в других системах), его даже в винде запущенный не от рута-администратора процесс сделать не сможет. А чем MBR отличается от любого другого раздела хоть с чем, кроме назначения находящихся на нëм данных?

Вся суть твоего mbr. http://habrahabr.ru/company/eset/blog/169131/
в комментах: «На мой взгляд, по логике было бы актуальным решение производителей BIOS, которое бы позволило сохранять в CMOS-памяти контрольную сумму нулевого и некоторых других секторов конкретного дискового устройства по вызову админа, установившего ОС, и проверять её перед загрузкой компа с этого устройства.»
вся суть консерваторов - костыли головного мозга

Кто мешает вирусу править сохраненное в биос значение?
Например, неизвестный вирусу алгоритм или закрытый ключ для вычисления нового значения.

смеялись всем отделом

далее не менее потешные комменты в духе: «умные ребята из intel проработали стандарт uefi, но он говно, т.к. не я его придумал, вот мой мега-клевый мега-костыльный способ защиты биоса»

смехота

Ты прикидываешься или действительно не видишь разницу в возможности для непривилегированного процесса открыть на запись и модифицировать содержимое непосредственно «/dev/sda» и сделать то же самое с «/efi/BOOT/BOOTx64.EFI», пусть и находящимся на «/dev/sda1»?

не вижу. на обе модификации требуется повышение привилегий(дада, я открыл тебе новые знания, иди дальше учи матчасть). у тебя мозгов на грамотные слова хватает, на суть - нет.

НЕЗНАНИЕ — СИЛА

А перед сном почитаем «1984».

Я чо-то не понял. Вместо того, чтобы потратить общественное бабло на организацию распределённой подбиралки закрытого ключа MS с последующей его публикацией, чтобы все могли подписывать всё, что угодно и не париться, эти придурки общественные бабки мелкософту отдают?

И кто им будет после этого деньгу донатить?

И где вендекапец?

ну не такие бугуртящие школьники.

О, наверно этим предателям донатить будут офисные крысы типа тебя, сынок?

Ну будет, видимо, 2 линуха - один нормальный, сделанный свободными людьми для свободных людей, а второй для потреблядей - что-то типа ведроида, огороженный не хуже iOS, зато с перделками.

иди крякай ключи мелкософта.

Мне не нужно. Я вполне в состоянии заказать партию нужных мне материнок, коли таковые понадобятся, с нужным мне софтом во флешке без всякого SecureBoot. Производители нынче сговорчивы.

Привет «отделу», офисная крыска. :)

ололо.

в состоянии заказать
с нужным мне софтом во флешке

в треде начальник с синдромом начальника. Иди расскажи эту шутку инженеришкаи которые клепают фирмварь. За спиной посмеются всем отделом, в руки вручат мать с «отключенным» secureboot. Все за деньги дурачков. велкам

Не, ты не понял. Это в рашке принято такой хернёй, как ты тут описал заниматься. «Клепать» фирмварь и «смеяться отделом». К счастью, мамки заказываются не в рашке.

Зальют то, что будет заказано, хоть coreboot, хоть BIOS - что угодно. Кастомный BIOS - это вообще дёшево, ибо невелик объём кода и функциональность. Причём доступна сия опция даже при смешном количестве в 100 штук. Не везде, но у многих.

as you wish. можешь дальше бояться secureboot и заказывать за баснословные деньги 1000 матерей «без секурбута». а дистрибутивы будут подписывать первичные загрузчики, и делать инсталляторы. Хороший дистрибутив с инсталлятором — могущий в секурбут, ноусекурбут, легаси. Подписывают у мелкософта - так их ключи реально повсюду. И стоит это копейки. И какая разница чей ключ? главное что он один и тот же во всех db. А значит никому мозги это не выносит(кон(е)ченым пользователям). Если ты знаешь как ставить без секурбута - отключай. Если знаешь как подписать и как добавить в базу - велкам. Никто тебя не ограничивает.

Повышение привилегий для записи в файл, находящийся на разделе с FAT? У тебя какой-то особый Linux?

обычный. its time открыть для себя mount. А не установить убунточку и считать себя оче умным школьником.