Дискусс о безопасности некоторых компонентов загрузки

Если включишь Secure Boot, то шифровать /boot не обязательно, Secure Boot позаботится чтобы не было загружено скомпрометированное ядро с келоггером. В общем-то это все для чего он нужен.

Стоит ли включать в BIOS UEFI

Да. Будет быстрее грузиться, и можно вообще убрать GRUB. Ядро нынче может грузиться напрямую, прямо из EFI. Прописать туда можно с помощью efibootmgr, см. примеры в арчевики (работает почти с любым дистром, у Арча просто вики хорошая).

примерно так (не повторяй не разобравшись только):

sudo efibootmgr --create --disk /dev/nvme0n1 --part 1 --label "Arch" --loader /vmlinuz-linux --unicode 'root=/dev/nvme0n1p2 rw initrd=\initramfs-linux.img'

И всё, дальше всё грузится без всяких загрузчиков вроде GRUB вообще.

Стоит ли включать secure-boot?

Нет.

Стоит ли использовать TPM 2.0 (сканера отпечатков у меня нет)?

Нет.

Если включишь Secure Boot, то шифровать /boot не обязательно

Гуглил этот вопрос, вроде как там нужны дополнительные манипуляции с подписью ядра используя свой ключ. А без них могут подменить.

И всё, дальше всё грузится без всяких загрузчиков вроде GRUB вообще.

А чем он так плох чтобы от него избавляться? Вроде тут читал у кого-то даже есть отдельный раздел с рекавери-лайвом на случай всякого, по-моему интересная идея.

А чем он так плох чтобы от него избавляться?

Да просто зачем лишний компонент, если всё прекрасно работает без него?

Ну и конкретно GRUB сложный и замороченный.

Вроде тут читал у кого-то даже есть отдельный раздел с рекавери-лайвом на случай всякого, по-моему интересная идея.

А это тут причём? Ну да, идея хорошая. Только лучше не раздел, а другой физический носитель.

Если что, на рабочей системе я не вижу смысла тратить время и избавляться от уже имеющегося GRUB. Тут «работает — не трогай» лучше всего подходит. Но если всё равно всё перетряхивать, систему переустанавливать, то можно просто не ставить GRUB. Это и усилий меньше по настройке, и места лишнего не занимает, да и даже накосячить меньше где можно на самом деле. Ну и просто нет лишнего компонента.

Стоит ли включать в BIOS UEFI для работы системы с GRUB 2 вместо GRUB 1?

И grub 1 и grub 2 прекрасно обходятся без uefi.

так как я считаю что все эти навороты не нужны

Согласен.

появились действительно полезные и секурные возможности, от включения всех этих наворотов.

Против кражи (выключенного) ноута достаточно шифрования диска. Если же ты боишься что у тебя украдут ноут, что-то в нём подменят и вернут назад (и всё это незаметно), чтобы ты ввёл пароль на скомпрометированной железке, после чего у тебя украдут и содержимое диска, то ничего из списка против такого всерьёз не поможет.

Да. Будет быстрее грузиться, и можно вообще убрать GRUB. Ядро нынче может грузиться напрямую, прямо из EFI

И чего в этом хорошего? GRUB даёт возможность выбрать нужное ядро и на лету изменить его конфиг, или даже выбрать ядро которое есть на диске, но в конфиг вписано заранее не было. А с этой поделкой ты всего этого лишаешься, ради бесполезного ускорения запуска.

то ничего из списка против такого всерьёз не поможет.

*кроме шифрования /boot

Выбрать любое ядро ничто не мешает и так.

А с кастомными параметрами — это бывает крайне редко. И когда нужно, через EFI Shell точно так же можно загрузить любое ядро с любыми параметрами. Ничего ты не лишаешься.

И это не поделка, а отсутствие поделки. То грузится сперва GRUB, потом ядро, а то сразу ядро, вот и вся разница.

с кастомными параметрами — это бывает крайне редко

Например, когда грузишься с разных разделов btrfs, чтобы откатываться назад

Ну, судя по доке systemd-boot все это может

https://wiki.archlinux.org/title/Systemd-boot

И разные варианты загрузки и фолбеков и редактирование параметров ядра и запуск произвольных ядер (через efishell). Так что кажется уже вполне готовая замена.

Стоит ли включать в BIOS UEFI

Да. Будет быстрее грузиться

Учитывая что это Lenovo, быстрее оно грузиться не будет (точнее будет, но незначительно, об этом ниже). (=

Там 90% загрузки — за логотипом Lenovo EC проверяет аутентичность и периферия сверяется с whitelist.

Но если из схемы убрать загрузчик и грузить ядро напрямую (точнее загрузчик-то останется в виде EFI stub, но он минимальный и на фоне GRUB быстр как понос), то будет немножечко быстрее. Экономия меньше секунды, но если цель заспидранить загрузку — пожалуйста. (=

работает почти с любым дистром

Работает с любым дистром, где ядро из репозиториев с EFI stub.

Но нужно быть внимательным — некоторые загрузчики IA32-only, даже если процессор x86_64. Не знаю насколько это актуально конкретно для X260, Riniko, это тебе придётся выяснить самостоятельно.

Нет. Ничего значит ничего. Компрометация железки позволяет сделать митм между твоей клавиатурой, экраном, и остальной частью ноута, а дальше вертеть любыми настройками безопасности на своё усмотрение.

systemd

Ещё этого не хватало...

А чем он так плох чтобы от него избавляться?

С UEFI в нём просто нет необходимости: выбор откуда и что грузить уже имеется в самом UEFI, надо только положить efi-программу куда надо и сообщить о её наличии UEFI. Плюс на один потенциально дырявый (когда-то в GRUB можно было 30 раз тапнуть по Backspace, и запрос пароля сломается) компонент меньше. (=

Вроде тут читал у кого-то даже есть отдельный раздел с рекавери-лайвом на случай всякого, по-моему интересная идея.

Если побился диск, от такого рекавери мало толку.
Именно поэтому я по-старинке имею пару флэшек с закинутым туда нужным софтом.

Обычно не диск бьётся а какой-нить горе-дистр разваливается после обновления.

Компрометация железки позволяет сделать митм между твоей клавиатурой, экраном, и остальной частью ноута, а дальше вертеть любыми настройками безопасности на своё усмотрение.

Более того, на ThinkPad для этого есть встроенный механизм — Active Management Technology. (%

горе-дистр разваливается после обновления

В этом случае можно загрузиться в Single User и пофиксить. Целый отдельный лайв для этого не требуется.

ты всего этого лишаешься

Фантазёр, кури матчасть, не позорься. (%

Именно поэтому я по-старинке имею пару флэшек с закинутым туда нужным софтом.

Это-то да, у меня вентоем откушено под исошки на переносном диске где всякое что чаще всего бывает нужно)

Да просто зачем лишний компонент, если всё прекрасно работает без него?

Вот подешеаеют ссд может переустанлвлюсь, посмотрю.. когда только теперь - нипанятна 🥴

Разговоры о безопасности не имеют смысла без модели угроз. От чего ты защищаешься?

Хочешь - включай, не хочешь - не включай. Я всё это использую и весьма доволен.

UEFI позволяет грузить ядро напрямую, без дополнительных прослоек. Никакого grub у меня в системе нет, мне он не нужен.

Secure Boot + TPM позволяют шифровать диск и не вводить пароль при каждой загрузке. Я почти каждый день перезагружаюсь по 2-4 раза, поэтому мне это слегка экономит нервы. В целом, конечно, мелочь, но приятно.

uefi и так работает. просто одна из опций конечной стадии там это изобразить bios.

Большой ССЗБ ;-D

привет, концептуально mbr это первый сектор который дергает 80h прерывание, - не суть. Это сектор на диске с типовой инфой EFI/UEFI это когда твоя шелезяка в таком режиме ищёт у себя запись о том на каком носителе FAT32 с бинарниками для процесса загрузки и возможно дополнительным функционалом. В MBR сектор есть или нет и он «один и тот же» В EFI/UEFI, если шелезяка не видит запись ты можешь в EFI Shell и он чем-то похож на grub rescue. Что касается secure boot, не эксперт, это тупо контрольные суммы и возможно сертификаты. Соответственно, про безопасность, ровно как загрузчик -> ядро + initrd -> шифрованный rootfs -> дополнительно зашифрованные разделы/тома и т.п. накладывает дисциплину, что при обновлении версии загрузчика с EFI/UEFI нужно трезво смотреть одним глазом на бекапы, а другим на шпору что бы твой ноут не превратился в тыкву и не пришлось разчехлять livecd и ручками восстанавливать инфу. ЗЫ поработать с запись, которую видит «UEFI/EFI BIOS» емнип в линуксе лежит в /lib/firmware

Про модель угроз уже написали; при утрате ноута защищает luks, погранцам или полиции ты ноут сам разблокируешь, а ещё что?