как пользоваться современной техникой?

Жирновато для эквивалента 62 секторов.

В век терабайтных SSD я готов пожертвовать парой десятков мегабайт ради удобства и гибкости. stage1.5 — это не «простота», это отвратительный костыль.

Смотрю на это, как на отдельный незашифрованный /boot

А stage1.5 у тебя зашифрованный? Нет? Тогда, может быть, хотя бы аутентифицированный? А в UEFI есть Secure Boot, поэтому сетап с UEFI при правильном использовании строго более секьюрный, чем без UEFI.

В век терабайтных SSD я готов пожертвовать парой десятков мегабайт ради удобства и гибкости. stage1.5 — это не «простота», это отвратительный костыль.

А мне этот бонусный незашифрованный /boot как кость в горле. И да, oн, конечно, не костыль; протокола обнаружения загрузчика кроме как через помойку на выделенном FAT разделе c неуникальным UUID и возжелать грех.

А stage1.5 у тебя зашифрованный? Нет? Тогда, может быть, хотя бы аутентифицированный?

Нет, конечно, и я это осознаю.

А в UEFI есть Secure Boot, поэтому сетап с UEFI при правильном использовании строго более секьюрный, чем без UEFI.

«При правильном использовании»... Объясни, пожалуйста, на пальцах, что мне дает эта фигня, когда физический доступ ee все равно оверрайдит, а удаленно словить гадость в MBR без предварительного компрометирования всей системы мне все равно не светит. Правда не понимаю.

А мне этот бонусный незашифрованный /boot как кость в горле. И да, oн, конечно, не костыль; протокола обнаружения загрузчика кроме как через помойку на выделенном FAT разделе c неуникальным UUID и возжелать грех.

Ага, а помойка в MBR и в неразмеченном пространстве после него, которую перезаписывают все кому не лень — это, конечно, лучше.

c неуникальным UUID

Мне кажется, ты не совсем правильно (совсем неправильно) понимаешь, что означают эти UUID. Это не UUID самих разделов, это UUID типов разделов. Они должны быть одинаковыми между всеми разделами одного типа. UUID там для того, чтобы, условно, любой Васян мог сделать свою операционочку или свою ФС, сгенерить UUID и не волноваться о том, что он переиспользует Майкрософтовский идентификатор.

Нет, конечно, и я это осознаю.

Ну и кто кому тогда должен говорить про то, что «FDE все меньше F»?

Объясни, пожалуйста, на пальцах

Объясняю на пальцах: ты критикуешь UEFI за то, что ESP уменьшает безопасность системы при использовании full disk encryption. Я опровергаю этот аргумент, показывая, что схема BIOS+MBR имеет ровно такое же слабое место, а если включить Secure Boot, то UEFI будет, напротив, увеличивать безопасность по сравнению с BIOS+MBR.

Ага, а помойка в MBR и в неразмеченном пространстве после него, которую перезаписывают все кому не лень — это, конечно, лучше.

Да.

Мне кажется, ты не совсем правильно (совсем неправильно) понимаешь, что означают эти UUID. Это не UUID самих разделов, это UUID типов разделов.

Хм, спаcибо. В голову не приходило, что кроме (FS)UUID и PARTUUID есть третий.

Ну и кто кому тогда должен говорить про то, что «FDE все меньше F»?

Пока раздел EFI больше 62 секторов --- я тебе.

Объясняю на пальцах: ты критикуешь UEFI за то, что ESP уменьшает безопасность системы при использовании full disk encryption.

... без SecureBoot --- да, но я также против сложности.

Я опровергаю этот аргумент, показывая, что схема BIOS+MBR имеет ровно такое же слабое место

Ясен пень, я могу придумать, как при наличии физического доступа обойти абсолютно любую такую систему.

а если включить Secure Boot, то UEFI будет, напротив, увеличивать безопасность по сравнению с BIOS+MBR.

Вот тут я проиграл. Ты включаешь SecureBoot и чешешь ЧСВ. Я прихожу, выключаю, задача свелась к предыдущей. Где я налажал? Чем он помог?

Debian же умеет грузиться с uefi. Запиши образ на флешку с помощью dd и зайти по <esc> в меню и загрузись с нее.
Можно упростить себе еще больше жизнь, поставив refind http://www.rodsbooks.com/refind/
А вообще uefi (и gpt разделы) - это очень качественный шаг вперед. Ведь почти 30 лет жили с тем, что придумано для устройств 80-х годов.

Да.

Нет.

Пока раздел EFI больше 62 секторов --- я тебе.

Я не вижу смысла спорить дальше, если ты не понимаешь, что нужно сравнивать не количество секторов, а количество шагов.

без SecureBoot --- да

Без Secure Boot ничего не меняется по сравнению с BIOS+MBR.

Я прихожу, выключаю <...> Где я налажал?

Там, что ты не сможешь просто так выключить SB, разумеется.

Я не вижу смысла спорить дальше, если ты не понимаешь, что нужно сравнивать не количество секторов, а количество шагов.

Ну шагов-то с EFI побольше будет да посложнее.

Без Secure Boot ничего не меняется по сравнению с BIOS+MBR.

Кроме сложности процесса и пространства для pre-boot атак.

Ну не хочешь спорить про сложность, давай про аутентификацию.

ты не сможешь просто так выключить SB, разумеется.

Вот раскрытие этого пункта я от тебя и пытаюсь получить. Понимаешь, это капец как логично, но ты единственный так говоришь.

Windows Hardware Certification Requirements for Client and Server Systems

Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv.

It shall be possible for a physically present user to use the Custom Mode firmware setup option to modify the contents of the Secure Boot signature databases and the PK.

Some things you may have heard about Secure Boot which aren't entirely true.

Secure Boot provides physical security

Untrue. Secure Boot does not in any way claim to improve security against attackers who have physical access, for the same reasons as the DRM case. The OS has no way to determine that the firmware's behaviour has been modified. A physically-present attacker can simply disable Secure Boot and install a piece of malware that lies to the OS about platform security. The «Evil Maid» attack still exists.

Ну и, наконец, всегда можно спереть мой ноут и заменить таким же, который запроcит и сольет любой pre-boot пароль.

Итак, при всем уважении, какую ценность привносит Secure Boot?

Ценность защиты от удаленного взлома во время загрузки железяки... Или нет?

защиты от удаленного взлома

Если атакующий удаленно добрался до MBR или SecureBoot, то поздно пить боржоми.

во время загрузки железяки... Или нет?

Нет. Это что еще за класс атак такой?

В общем, в Википедии написано для чего оно. А от физического доступа и кражи ничего не спасет, увы.

То есть оно для той ситуации, когда я уже словил руткит, а он зачем-то полез менять загрузчики, модули и ядра и зафэйлил подписать их моим ключом (или утекшим ключом Microsoft)?

Эталонное ненужно.

Не совсем. Если ты подпишешь EFI-исполняемые файлы (ядро и/или загрузчик) своим ключом и включишь SecureBoot, то от remote-взлома это тебя не спасёт (ровно так же, как и FDE на MBR-схеме, потому что тут уже будет атака на рантайм твоего окружения, к которой BIOS/UEFI и загрузчик вообще отношения не имеют).

Однако, если твой комп угонят, то к данным доступ они получить не смогут — данные зашифрованы, в UEFI прописаны твои ключи, SecureBoot не даст злым жёлудям загрузить что-либо, что не подписано твоим ключом. Если ты ещё и пароль для BIOS/UEFI установишь — будешь совсем молодцом.

Кстати, модули ядра тоже можно подписывать (или ограничивать их загрузку одной ФС).

ADD: Забыл сразу добавить — мелкие EFI-загрузчики (тот же Gummiboot/Systemdboot) просто запускают EFI-executables, поэтому подсунуть ему «палёное» ядро при включенном SecureBoot не поможет — BIOS откажется это запускать.

SecureBoot не даст злым жёлудям загрузить что-либо

Как, блин, если он отключаем???

Если ты ещё и пароль для BIOS/UEFI установишь — будешь совсем молодцом.

В этом что ли соль? Да там пару ног закоротить и все, никакого пароля. Грузи сколько влезет.

Да и пользы мне никакой в этом сценарии — диск все равно зашифрован, ноут все равно не вернуть.

Сходи почитай мануал.

А еще лучше - в универ. Или прочитай 5-10 книжек...

Хз, слышал, что нынешние BIOS хранят пароли не в CMOS, поэтому «закоротить ноги» или дёрнуть батарейку не поможет.

В некоторых случаях можно ещё и TPM использовать.

я только до 12 лет прочитал, наверное, раз в 50 больше книжек, чем ты за всю свою жизнь :)

В ThinkPad X220/X230 точно хватает ног. Поэтому неработающих защиту против не волнующей меня атаки городить как-то тупо.

62 секторов

Если что, stage 1.5 не влазил туда ещё лет восемь назад, только убогий LILO. В реальности это уже давно 2048 секторов или 1 Мб. И ESP с GRUB занимает столько же, сам делал его размером 1 Мб.

Или прочитай 5-10 книжек...

Очередной фанат книжного образования.

Не совсем. Если ты подпишешь EFI-исполняемые файлы (ядро и/или загрузчик) своим ключом и включишь SecureBoot, то от remote-взлома это тебя не спасёт...

Опа!

А для меня можно напротив — вот в этой части поподробнее.

Здесь имеется в практическом ключе? То есть в духе: оно-де должно бы спасти, но не спасет, потому что $manufacturer накосячил с $WTFIT так что оно теперь легко уязвимо к $JAFA, о чем всем давно известно?

Немного не понял, что это за аббревиатуры такие, но попробую объяснить.

Работа прошивки устройства и загрузчика — запускать ОС. В этом контексте работа SecureBoot — допустить запуск только тех EFI-приложений, которые подписаны доверенным ключом (MS, другого вендора, твоим собственным — тут как настроишь). Если ты загрузил систему с подписанного доверенным ключом ядра, то ты можешь быть уверен, что ядро у тебя в порядке (если твой ключ не угнали, конечно).

Про remote-взлом я написал в том смысле, что это уже совсем другая поверхность атаки (сеть, уязвимости в ПО и/или ошибки конфигурации) — тут SecureBoot вообще никак не участвует. Если эксплоит подменит тебе ядро/загрузчик — в следующий раз машина просто откажется его запускать, но это дело десятое, потому что у тебя в рантайме уже гуляет некий злой жёлудь и имеет права на запись в /boot.

Немного не понял, что это за аббревиатуры такие

Погуглите. Нет, ну правда. :-)

Я просто когда некоторое время тому интересовался за эту тивоизацию, то примерно такое и читал постоянно: что оно бы у вас тут должно было иметь какую-то пользу, если бы не лажа отдельно взятых производителей. Где за лажу могло быть как что-то понятное даже мне, типа профукали свой тайный ключ, так и набор каких-то аббревиатур. И среди производителей была далеко не безымянная китайщина, но вполне именитая китайщина: Эпл да Асус.

Про remote-взлом я написал в том смысле, что это уже совсем другая...

То есть мы о разном? Ага.

Если эксплоит подменит тебе ядро/загрузчик — в следующий раз машина просто откажется его запускать

Вот.

но это дело десятое, потому что...

То есть по-вашему отключать эту хрень спокойно и без зазрения совести?

и имеет права на запись в /boot

Или это только для того случая справедливо, когда есть еще возможность грузить систему через CSM?

А товарищ генерал разрешил. Правда если оно отключается в настройках.

И даже не шпионит.

Ты в курсе, что во всех современных компах все ОС устанавливаются в гипервизоре с minix-ом? А доступ к нему получить трудно, чтобы не посмотрели случайно на то что там происходит.

Вуби - зло.

Вуби

Это тот самый костыль для установки Убунты в файл из первых годов этого века? Она что, восстала?

внатуре какой-то косяк с тачпадом начался. то левая кнопка начинает работать, как правая, то правая - как левая, то как мидл-клик (уж не знаю, аппаратно эмулируемый или через эмуляцию в иксах). до перезагрузки всё было нормально, а после неё, сразу же настала такая вот байда, выключение и смена ядер не помогли.

фишка в том, что тут вообще нет никаких кнопок, есть только тачпад, поэтому неверные касания бывали и раньше - но при аккуратности проблем с левым, правым и средним кликом не было. а ща появились.

То есть по-вашему отключать эту хрень спокойно и без зазрения совести?

Что отключать? Secure Boot? Ну отключайте, если не хотите верифицировать то, что загружается у вас на машине.

Или это только для того случая справедливо, когда есть еще возможность грузить систему через CSM?

CSM (он же «Legacy Boot Support» и т.д.) нужен только в тех случаях, когда надо загрузить на машине что-то из того legacy, которое не умеет работать с EFI. По сути это — эмуляция «старого» BIOS. Если злоумышленник получит доступ к ОС удалённо и просто подменит ядро своим, то CSM тут не сработает, потому что подосланное ядро всё так же будет EFI-исполняемым файлом. Конечно, злоумышленник может попробовать поставить на вашу машину какой-нибудь legacy-загрузчик, но я не уверен, что это сработает.

То есть мы о разном? Ага.

Видимо о разном. В этом посте Вы процитировали именно абзац про remote-взлом, поэтому я на всякий случай обозначил, что «boot-time»-защита (не знаю, есть ли такой термин, но как-то обозвать это надо; имею ввиду возможности Secure Boot) и «run-time»-защита (защита от взлома во время работы ОС) — вещи разные и мало пересекаются.

Проверь логи иксов, какой драйвер для тачпада подхватывается?

Ну есть режим совместимости, но скоро его нигде не будет, да и нужен он для старых винд. Так что нет, нельзя.

Если хочешь лишиться гарантии, прошей на libreboot, и отпишись здесь.

причём здесь драйвер?

просто обычно оно и левое и правое начинает действовать, как левая кнопка мыши. если беспорядочно кликать во все стороны, то в какой-то момент обе кнопки начинают действовать, как правая. периодически всё это начинает работать, как средняя. куда конкретно при этом жать на нижней полосе тачпада, особой разницы нет :) в принципе, я нашёл точку, куда если аккуратно в уголок жать, в 80% оно срабатывает, как правая. но всё это жутко неудобно. есть ещё клик двумя пальцами по тачпаду, но это тем более неудобно и непривычно, у меня пальцы за десятилетия уже привыкли к определённой работе с тачпадом :)

до перезагрузки такой фигни не было. не было печали, обновился с stretch до sid, захотелось нового firefox и другого софта :) пробовал выключать и затем грузить снова ядро 4.9 - не подходит. в общем, тут конструктив тачпада настолько же ужасен, как и вся современная техника :) :(

в bios setup непонятно, ибо тачпад там как работал невменяемо и неюзабельно с самого начала, так и работает там до сих пор, поэтому стало ли там хуже, я понять не могу.

прошей на libreboot, и отпишись здесь.

нахрена мне это

я хочу тачпад рабочий :)