linux uefi совместно с windows

стоял в сторонке и удивлялся терпению, но не смог промолчать: это Вы сюда пришли и Вам помогают бесплатно и по доброй воле; может быть потому что бессознательно ведёте?

открой google или яндекс

Я как-то хотел изучить и на хабр стал читать статью, пока читал потерял нить и забыл зачем пришёл.

Если записи в uefi это «симлинки» на бинарники, то иногда бинарники пропадают, а симлинки остаются

Иногда заход к проблеме с другой стороны помогает.

https://www.ventoy.net/en/doc_secure.html

Я выясняю интересующие вопросы безопасности и никого не трогаю. Узнал много нового и интересного. Форум для того и нужен, чтобы беседовать об интересующих вопросах

Вопрос к специалистам по безопасности. Нужно ли включать secure boot или это не особо важно?

Я не специалист по безопасности, но если вы не на предприятии и не обязаны отчитываться перед начальством за безопасность, то чуть упрощает. Многие и сейчас на legacy, так что вроде как с отключенной безопасностью. Вирус в загрузчик скорее всего подготовка встраивания вируса в ОС, так чтобы обойти защитник/антивирус. Но антивирусы какие есть опасные/безопасные? Рекламщик, он проявит себя. У чела майнинг задейстовал SSD/NVMe, у меня стоит во всех ОС датчики загруженности процессора, SSD/NVMe,HDD, загруженности памяти, сети. Поэтому я быстро увижу не ладное. Майнинг видюхи не знаю как обнаружить, может только по нагреву… И вероятность какова? Так что вам решать выбирать баланс между мнимой безопасностью и сильным ограничением в загрузчиках.

Не включай ПК, через него можно выйти в Internet и получить психологическую травму или зайти на запрещённый ресурс.

Или хотя бы отключи сетевой провод и wifi.

Потенциально системный блок является источником опасности, может ударить током.

Так что в целом для безопасности - не включай его и отключи Internet. Оберни мягким материалом корпус, у него есть острые углы и убери с прохода, можно удариться,

Когда люди занимаются онлайн платежами, то вопрос безопасности весьма важен

Так это ты шлёшь сообщения на форум, что тебе есть нечего и просишь перевести на карту деньги?

Нет. Я имею ввиду коммунальные платежи

Нет. Я имею ввиду коммунальные платежи

Поставь чистую ось только для платежей, без использования интернет и не монтируй этот диск во всех установленных ОС. Сделай раздел шифрованным, который не будет доступен даже случайным подключением.

Или даже с образа LiveCD загружайся, который «только чтение».

Хорошо. А шифрование диска не замедлит работу диска?

Ни в коем разе не нагнетаю, просто «когда поднимается песок в пустыне»: все начинали в разное время и учитывая доступность такой поток вопросов может восприниматься как не желание самостоятельно разобраться в теме (когда богаж опыта накопишь, тоже скрипеть будешь от процесса выгрузки ответа ;-).

Хорошо. А шифрование диска не замедлит работу диска?

Я через гугл смотрю, запрос: замедлит ли шифрование работу диска?

А потому что есть аппаратное шифрование, которое не влияет ни на что. Но на сколько оно есть в железе? Да и если торможение, мы же говорим о коротком время провождении в ОС только для оплаты. На винде я принципиально сразу отключил, на линуксе при установке спрашивает, не хочу столкнуться со сбоем оси и потом танцевать с бубном из-за недоступности раздела.

Я через гугл смотрю, запрос: замедлит ли шифрование работу диска?

А что так можно было )))

На винде я принципиально сразу отключил,

Если у тебя Win11 и ещё Pro - она автоматом при установке при наличии TPM модуля включает шифрование.

А так, просто загружаешься с установщика и доступ к файлам есть, оттуда же сбрасываешь пароль и потом отключаешь шифрование совсем.

А что так можно было )))

Хочу показать, что у меня мозг не контейнер для всего что есть и даже зная ответ перестраховка освежить память не повредит. Другое дело что бывает вопрос не гуглится и тогда посыл в гугл плохой стиль общения, такой совет может дать даже школьник.

Если у тебя Win11 и ещё Pro - она автоматом при установке при наличии TPM модуля включает шифрование.

Я как бы сам знаю и отключаю.

Теоретически, ты можешь создать один, так сказать, мастер-ключ, Platform Key, PK, который может быть только один, необходимое количество Key Exchange Key, KEK, необходимое количество Authorized Signatures, db, которые как раз и содержат сигнатуры того, что можно запускать. Там, собственно, и находятся мелкософтовские ключи. На практике как минимум PK уже записан производителем железяки, а для его смены нужна подпись. Линуксовые же ядра и загрузчики подписываются через механизм Machine Owner Key, MOK, который позволяет добавлять в NVRAM собственные ключи и подписи. Поэтому для организации дуалбута нужно добавить подписи ядра, загрузчиков и модулей ядра с помощью MOK, или сделать UKI. И с каждым обновлением их пакетов подписывать их заново. Как-то так.

Для начала тебе надо понять, от чего ты защищаешься.

Спасибо за полезную информацию

uefi сам по себе уже вирус, а ещё на материнской плате вашего ПК установлен процессор, который работает независимо от ОС и вашего согласия. Последний ПК, которым можно пользоваться для очень важных дел - что-то на сокете 775, дальше всё, полный слив ваших данных и возможность удалённого управления ПК.

Вирус из винды в линукс, при твоей схеме, может перелезть элементарно. Чтобы снизить опасность, надо всегда физически отключать диск с линуксом перед запуском винды (но у тебя это не получится если они все на общем диске). Если ты этого не делаешь - про остальные защиты можешь даже не думать, они будут почти бесполезны. Чтобы ещё снизить опасность, не запускай линукс на том же компе (материнской плате), где ранее запускалась винда, потому как винда может прописать свои вирусы в материнку, и временные отключения дисков не помогут. Но такая атака уже редкая, бытовые вирусы такого не умеют.

Установщик Debian / Ubuntu в случае Secure Boot подписан ключом Microsoft, т.е. хакеру нужно иметь так же верифицированный загрузчик, подписать свой модуль к UEFI или модуль ядра ключом Microsoft или иным, добавленным в прошивку.

Учитывая, что в роли хакера может сам микрософт и выступать, ключи не помогут.

Или даже с образа LiveCD загружайся, который «только чтение».

LiveCD тут был бы наиболее беспроблемным вариантом (ну кроме вирусов в материнке), но вот проблема: cd/dvd-rom дисководы сейчас обычно в компы не ставят. А на обычной флешке защиту от записи не поставить.