LINUX.ORG.RU

Релиз Coreboot 4.11

 , , , ,


3

3

Состоялся релиз Coreboot 4.11 - свободной замены проприетарным прошивкам UEFI/BIOS, используемой для начальной инициализации железа перед передачей управления дополнению «payload», например SeaBIOS или GRUB2. Coreboot очень минималистичен, к тому же он предоставляет широкие возможности встраивания различных дополнений вроде утилиты вывода подробной системной информации coreinfo и тетриса tint, а также дискетных ОС: Kolibri, FreeDOS, MichalOS, Memtest, Snowdrop, FloppyBird и др.

В новой версии:

  • Почищен и унифицирован код многих платформ

  • Значительно улучшена поддержка чипсетов Mediatek 8173 и AMD Picasso 17h (Ryzen), а также RISC-V

  • Расширена поддержка vboot (свободного аналога проприетарному SecureBoot) — изначально он был только на хромбуках, но теперь появился и на другом железе

  • Добавлены 25 новых плат:

    AMD Padmelon, ASUS P5QL-EM, Emulation QEMU-AARCH64, Google Akemi / Arcada CML / Damu / Dood / Drallion / Dratini / Jacuzzi / Juniper / Kakadu / Kappa / Puff / Sarien CML / Treeya / Trogdor, Lenovo R60, Lenovo T410, Lenovo Thinkpad T440P, Lenovo X301, Razer Blade-Stealth KBL, Siemens MC-APL6, Supermicro X11SSH-TF / X11SSM-F.

  • Удалена поддержка единственной поддерживаемой платы MIPS (Google Urara) и архитектуры MIPS вообще, а также платы AMD Torpedo и кода AMD AGESA 12h

  • Улучшена нативная инициализация Intel-овских видеокарт в библиотеке libgfxinit

  • Исправлен спящий режим на некоторых AMD-шных платах, включая Lenovo G505S

В ближайшее после релиза время планируется удаление многих плат, не поддерживающих «relocatable ramstage», «C bootblock» и платформ использующих «Cache as RAM» без стадии postcar. Это ставит под, угрозу множество важных плат на базе AMD, в том числе сервер ASUS KGPE-D16 — самый мощный поддерживаемый coreboot-ом сервер, к тому же способный работать без блобов (libreboot). О серьёзности намерений свидетельствует ряд свежих изменений на review.coreboot.org, в особенности https://review.coreboot.org/c/coreboot/+/36961

>>> Подробности

★★★★★

Проверено: a1batross ()

Ответ на: комментарий от seiken

с какой стати опенсорс firmware будет «гораздо лучше и стабильнее» по сравнению с firmware от производителя

Если firmware от производителя глючит, ты это никак не исправишь (исходников-то нету!), а производитель на твою плату давно забил. Или офиц. firmware не предоставляет продвинутых функций вроде IOMMU. Зато может шпионить, через зонд Computrace например.

SakuraKun ★★★★★ ()
Ответ на: комментарий от hobbit

планируется удаление многих плат

Традиционный вопрос: кому, блин, мешали? Их и так, ЕМНИП, не очень много…

Гуглу с интелом лень добавлять лишние if/ifdef в свои коммиты полагающиеся на некоторые функции вроде «C bootblock», которых в коде тех плат пока нету. А могли бы делать как в https://review.coreboot.org/c/coreboot/+/36908/ (отключить FMAP для плат без «C bootblock») и все были бы счастливы.

SakuraKun ★★★★★ ()
Ответ на: комментарий от ch1p

Просто я не понимаю, почему нельзя добавлять в новые коммиты, полагающихся на «нужные функции», пару отключающих if/ifdef для сохранения настолько важных плат? Возможно, это не очень удобно, но из двух зол лучше выбирать меньшее.

SakuraKun ★★★★★ ()
Последнее исправление: SakuraKun (всего исправлений: 2)
Ответ на: комментарий от jtad

Можешь сделать дискету FreeDOS с танчиками и добавить в собранный коребут одной командой

./build/cbfstool ./build/coreboot.rom add -f ./path_to/freedos.img -n floppyimg/freedos.lzma -t raw -c lzma

А в Kolibri танчики уже есть, правда немного другие - http://wiki.kolibrios.org/wiki/File:Tanks.PNG

SakuraKun ★★★★★ ()

Это ставит под, угрозу множество важных плат на базе AMD

Кто мешает продолжать использовать старую версию coreboot для этих плат?

Как по мне, то решение правильное - фокусироваться на свежем железе и не отвлекаться на зоопарк древних железок.

jekader ★★★★★ ()

AMD Padmelon, ASUS P5QL-EM, Emulation QEMU-AARCH64, Google Akemi / Arcada CML / Damu / Dood / Drallion / Dratini / Jacuzzi / Juniper / Kakadu / Kappa / Puff / Sarien CML / Treeya / Trogdor, Lenovo R60, Lenovo T410, Lenovo Thinkpad T440P, Lenovo X301, Razer Blade-Stealth KBL, Siemens MC-APL6, Supermicro X11SSH-TF / X11SSM-F.

Где, где взять весь этот металлолом? Когда уже будет поддержка хотя бы плат на X99 чипсете или C602? Стоит ли ожидать поддержку хотя бы GIGABYTE GA-X99-Designare EX или ASUS ROG RAMPAGE V EDITION 10?

Это ставит под, угрозу множество важных плат на базе AMD, в том числе сервер ASUS KGPE-D16 — самый мощный поддерживаемый coreboot-ом сервер, к тому же способный работать без блобов (libreboot).

А вот это уже реальное огорчение… ASUS KGPE-D16 это реально годный ветеран всех времён и народов, до сих пор у меня крутиться с libreboot, правда уже в качестве декстопа на даче, но всё равно справляется со своими задачами получше чем новоявленные райзены.

anonymous ()

НУЖНО! Мечтаю прошить свой елитбук, но как-то руки не доходят..

Deleted ()
Ответ на: комментарий от te111011010

Secure Boot придуман ИСКЛЮЧИТЕЛЬНО для того, чтобы ограничить пользователя в праве использования собственного компьютера.

Какая у вас классная паранойя.

Alve ★★★★★ ()
Ответ на: комментарий от jekader

Если использовать старый coreboot для этих плат, ты не получаешь улучшений общего для всех плат кода вроде libpayload, если их не бэкпортировать вручную. Большинство из улучшений пока что не полагаются на функции, из-за отсутствия которых в коде те платы сейчас удаляют.

SakuraKun ★★★★★ ()
Ответ на: комментарий от jtad

Самое время бежать за коребутной платой с БИОС-чипом побольше :) Благодаря LZMA-сжатию добавляю к себе в коребут 8 дискет (коребут на G505S занимает меньше 1МБ из 4МБ) и остаётся свободное место. А если твой Ethernet-контроллер поддерживается в Kolibri, можешь прям из БИОСа заходить в интернет и чатиться по IRC с самопальным шифрованием ;-) https://board.kolibrios.org/viewtopic.php?f=11&t=3734

Со всем этим можно поиграться в QEMU, собрав специальный образ коребута с выбором платформы QEMU в make menuconfig.

SakuraKun ★★★★★ ()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от darkenshvein

в

git clone https://review.coreboot.org/coreboot && cd ./coreboot/ && make menuconfig

наиболее полный список, но он может включать в себя и те платы, работа над которыми пока ещё ведётся и что-то важное может не работать. Поэтому лучше ориентироваться на https://coreboot.org/status/board-status.html - выбирать из плат, для которых пользователи недавно присылали свежий отчёт board status, и разумеется почитать список рассылки coreboot что там про них пишут

SakuraKun ★★★★★ ()
Последнее исправление: SakuraKun (всего исправлений: 2)

Эх… мой старенький ASUS Sabertooth 990FX R2.0 наверное еще не скоро заведётся под этим. Печально.

BlackV ()
Ответ на: комментарий от anonymous

ASUS KGPE-D16 это реально годный ветеран всех времён и народов, до сих пор у меня крутиться с libreboot

Можно поинтересоваться почему именно libreboot? Как оно в работе и всё ли поддерживается?

anonymous ()
Ответ на: комментарий от BlackV

Моделей материнок очень много - и вероятность, что кто-то портирует именно на твою модель, крайне мала. Проще найти уже поддерживаемую coreboot’ом б/у материнку с таким же сокетом на авито за косарь-два, и переставить проц. Почитай про ASUS M5A88-V - она с таким же сокетом AM3+ как у твоей платы, и была в коребуте ещё вчера (сегодня выпилили).

SakuraKun ★★★★★ ()
Ответ на: комментарий от xor2003

Зависит от похожести портируемой платы на уже поддерживаемые, и твоих навыков разумеется. От нескольких дней до месяца и выше.

SakuraKun ★★★★★ ()

Это ведь для тех, кто боится жучков прям в биосе? А они точно принимают лекарства?

Alve ★★★★★ ()
Ответ на: комментарий от anonymous

libreboot - это форк коребута (с устаревшим на сегодняшний день кодом) в котором выделили платы, способные работать без блобов. Разве что с определённой переделкой под себя: например, дополнение «payload» по умолчанию в нём GRUB2 вместо SeaBIOS. Коребут избегает использования блобов когда это возможно, поэтому в плане свободы коребут для KGPE-D16 равнозначен либребуту.

SakuraKun ★★★★★ ()
Ответ на: комментарий от Alve

«Жучки прям в биосе» - это реальность, см. Computrace и т.д. Но coreboot не только для тех кто весьма заботится о безопасности: он подойдёт и вам, если не нравится проприетарный БИОС по каким-то причинам (глюки, недостаток функций, производитель забил на твою плату)

SakuraKun ★★★★★ ()
Ответ на: комментарий от Unicode4all

Т.н. Фирмваре от производителя это ни разу не залог безглючности и стабильности.

А кто-то утверждал, что таки залог?

Наверное потому что прошивки производителями пишутся по принципу «шоб хоть как-то работало».

Это не объяснение. Должна быть экономическая причина. Если баги в фирмваре влияют на непосредственный выбор потребителем того или иного производителя, то это непосредственный стимул производителю повышать качество. Если такого влияния не существует в реальности, значит экономически существенной части потребителей наплевать на существующие недостатки прошивок.

seiken ★★★★★ ()
Ответ на: комментарий от anonymous

А ты найди больше разрабов, которые будут за спасибо работать, они тебе всё и напишут.

ZERG ★★★★★ ()
Ответ на: комментарий от seiken

О «багах в фирмваре» пользователь узнаёт уже после того как отдал деньги производителю и поддержал его экономически. А бежать на самом деле некуда: все «проприетарщики» лицензируют основную часть БИОСа у нескольких монополистов вроде Award и Insyde и затем вносят свои малозначительные изменения. Вот и получается, что у «гигабайта» глючные БИОСы но и у «MSI» не менее глючные - всё потому что все они из одной глины мешаны.

Если БИОС разрабатывается проприетарщиком за доллары, понятное дело их пытаются потратить как можно меньше - лишь бы винда грузилась! - поэтому и результат зачастую неутешителен. Хорошо что есть такие опенсорс проекты как coreboot, которые делаются с душой.

SakuraKun ★★★★★ ()
Ответ на: комментарий от seiken

И вот непонятно, с какой стати опенсорс firmware будет «гораздо лучше и стабильнее» по сравнению с firmware от производителя.

И вот непонятно, с какой стати верун в доброту и всемогущество производителей и певец закрытого софта ходит на сайт про линукс.

По сути тебе уже ответили: производитель всегда может на свой продукт забить. А дальше — как в анекдоте:

– Ты кто?

– Твоя смерть!

– Хм… И что?

– И ВСЁ!

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от ZERG

Нужно взять БИОС-чип побольше (например 16МБ) и коребутную плату (желательно с сокетом для БИОС-чипа, чтобы не перепаивать), ввести новый формат виртуальной дискеты-монстра в дополнение SeaBIOS (например 28.8МБ - в 20 раз больше обычного), расширить дискету FreeDOS до этого размера, запихнуть туда даггерфолл, и добавить это добро в собранный coreboot при помощи cbfstool с использованием сжатия lzma. Нет ничего проще ;-)

SakuraKun ★★★★★ ()
Ответ на: комментарий от seiken

Если такого влияния не существует в реальности, значит экономически существенной части потребителей наплевать на существующие недостатки прошивок.

Ну да. А из этого следует, что другая часть потребителей должна под них подлаживаться? Вот скажи, ты будешь слушать какого-нибудь Михаила Круга и «Бутырку» потому, что их слушает существенная часть твоих соседей?

hobbit ★★★★★ ()
Ответ на: комментарий от seiken

И вот непонятно, с какой стати опенсорс firmware будет «гораздо лучше и стабильнее» по сравнению с firmware от производителя.

Например, потому что он раз в 1000 меньше типичного проприетарного бивиса, и тем самым содержит в себе меньше поверхностей для атак и меньше мест, где могут возникнуть баги.

derlafff ★★★★★ ()
Ответ на: комментарий от hobbit

И вот непонятно, с какой стати верун в доброту и всемогущество производителей и певец закрытого софта ходит на сайт про линукс.

Я вовсе не певец ни закрытого, ни открытого софта. Просто если делаются заявления типа «надёжнее и лучше», я хочу понять, почему именно «надёжнее», и в каком месте «лучше», и понять также, есть ли под этими феноменами «надёжности» и «лучшести» какой-то экономический или общественный механизм, который предопределяет появление и (само-)воспроизведение этих «надёжностей» и «лучшестей» в данном конкретном воплощении. Или же никаких механизмов нет, а успех - всего лишь случайность, на основе отдельных юз-кейсов неадекватно раздутая до размеров мнимой универсальности. И тогда, если имеет быть место именно неадекватность, заявления о подобной «надёжности» и «лучшести» ничуть не достовернее коммерческой рекламы малоперспективных проприетарных продуктов.

Вот мы уже выяснили, что один из возможных юз-кейсов - поддержка новых процессоров старыми биосами, на которые производитель уже забил. Вполне полезный юз-кейс, и проект уже был бы адекватен/полезен, даже если бы это был его единственный юз-кейс.

Кстати, если открыть страничку «О сервере» ЛОР, то там ничего не сказано о опенсорс, а упомянут только Linux. И проприетарные продукты для Linux тоже онтопик на ЛОР.

seiken ★★★★★ ()
Последнее исправление: seiken (всего исправлений: 2)
Ответ на: комментарий от SakuraKun

Если БИОС разрабатывается проприетарщиком за доллары, понятное дело их пытаются потратить как можно меньше - лишь бы винда грузилась! - поэтому и результат зачастую неутешителен. Хорошо что есть такие опенсорс проекты как coreboot, которые делаются с душой.

Звучит так, как будто все пользователи, которые собирают компы или делают апгрейд материнки уже купленному компу, первым делом меняют биос на coreboot, иначе винда только загрузится. А те, кто не знают о coreboot - у них комп после загрузки винды сразу виснет и они бегут в сервис центр сдавать комп по гарантии?

seiken ★★★★★ ()
Ответ на: комментарий от derlafff

Например, потому что он раз в 1000 меньше типичного проприетарного бивиса, и тем самым содержит в себе меньше поверхностей для атак и меньше мест, где могут возникнуть баги.

По той же причине можно пересобирать Linux под свой аппаратный конфиг и настраивать файрвол. Только на сколько это целесообразно для среднестатистического пользователя?

seiken ★★★★★ ()
Ответ на: комментарий от Alve

Secure Boot придуман ИСКЛЮЧИТЕЛЬНО для того, чтобы ограничить пользователя в праве использования собственного компьютера.

Какая у вас классная паранойя.

Такая же симметрично классная, как у тех, кому нужен secure boot.

anonymous ()
Ответ на: комментарий от seiken

Тебе для «среднестатистического пользователя» или для себя? Это вот как вендотролли постоянно говорят от имени некоего «простого пользователя».

Опенсорс тем и силён, что даёт возможность выбора. Хочешь — берёшь дефолтную убунточку. хочешь — настраиваешь всё под себя… да даже в той же убунточке.

Coreboot же по умолчанию — не для всех (за исключением случаев, когда он предусмотрен на железе сразу, это экзотика, но ссылки на такое железо на ЛОРе проскакивали).

hobbit ★★★★★ ()

Что нужно знать/уметь чтобы запилить поддержку свой платы в coreboot ? С чего начать ? Допустим я знаю C# и пишу на нем пару лет, есть старенькая материнка и китайский программатор.

BLOBster ★★★ ()
Ответ на: комментарий от anonymous

Не вижу проблем в ограничениях пользователя собственного компьютера.

Например, практически все специалисты по GNU/Linux рекомендуют использовать права ограниченного пользователя для повседневной работы.

В ограничениях нет проблемы до тех пор, пока существует задокументированный способ их обойти. С Secure Boot дела на компьютерах общего назначения обстоят именно так.

kmeaw ★★★ ()
Ответ на: комментарий от kmeaw

Не вижу проблем в ограничениях пользователя собственного компьютера.

Ограничения - это проблема (потому что ограничения надо обходить или убрать, то есть совершить действие для решения проблемы). Твое утвреждение «Не вижу проблем в ограничениях» - это противоречие.

Например, практически все специалисты по GNU/Linux рекомендуют использовать права ограниченного пользователя для повседневной работы.

Кому рекомендуют? Другим специалистам, понимающим зачем нужны ограничения? Одни специалисты с профессиональной параноидальной деформацией рекомендуют другим с такой же проф.деформацией.

Для обычного пользователя-незнайки это всё так и выглядит - шизики с навязчивыми идеями про ограничения. Хорошо, что не социально опасные шизики - позапрещают всё (как в госдуме)

:)

В ограничениях нет проблемы до тех пор, пока существует задокументированный способ их обойти. С Secure Boot дела на компьютерах общего назначения обстоят именно так.

И какой задокументированный способ обойти Secure Boot? Украсть приватные ключи у MS и подписать свой загрузчик?

Отключение через меню bios/uefi - это это про возможности биоc, а не про secure boot.

anonymous ()
Ответ на: комментарий от seiken

У проприетарного UEFI на моём ноуте большие проблемы с загрузкой линукса - https://askubuntu.com/questions/451638/ubuntu-14-04-loads-to-purple-screen-on-lenovo-g505s-nomodeset-wont-work?rq=1

I happen to own the same model and ran into the same problem. I have tried everything starting from editing grub, installing different kernels, trying proprietary drivers, converting to efi partition, booting with battery ejected.

After 6 months of trying, I find it weird to say that what solved problem was moving network boot to top of boot order (with BIOS in legacy mode).

Как видишь, проприетарщина может быть настолько глючной, что у людей уходит куча времени чтобы нашаманить «правильные настройки». Зачем-то поставить сетевую загрузку вверх списка - до этого ещё додуматься надо!

SakuraKun ★★★★★ ()
Ответ на: комментарий от BLOBster

Прежде всего выяснить, какой архитектуры твоя плата, её южный мост и прочее; затем посмотреть, поддерживается ли такое железо в коребуте. Если всё поддерживается - очень хорошо, собираем всё вместе и пытаемся запустить, возможно меняя номера портов и прочие конфиги. А если чего-то нет, придётся добавлять поддержку в соответствии с доступной документацией и опенсорсным кодом. Подробнее расказано тут: https://www.coreboot.org/Developer_Manual

SakuraKun ★★★★★ ()
Ответ на: комментарий от anonymous

Ограничения - это проблема

Одни специалисты с профессиональной параноидальной деформацией рекомендуют другим с такой же проф.деформацией.

Может тогда и Protected Mode — проблема? Давайте вместо Linux использовать TempleOS — там нет таких «проблем», всё работает в ring0 с плоским 1:1 отображением памяти.

Может быть проверки синтаксиса и типов в компиляторах — проблема? Или существование фаерволов на маршрутизаторах, ведь они ограничивают прохождение пакетов через него?

Отключение через меню bios/uefi - это это про возможности биоc, а не про secure boot.

Secure Boot является частью прошивки системы, и включает в себя инструменты для настройки.

kmeaw ★★★ ()
Ответ на: комментарий от anonymous

2.5ггц феном лучше райзенов? Опять из кащенки поциенты на лор просачиваются?

anonymous ()
Ответ на: комментарий от kmeaw

С Android примерно то же самое

С Android не то же самое. Верифицированная загрузка там была изначально и цель её была изначально именно в том, чтобы запретить пользователям менять ОС.

Загрузчик стал проверять boot (но патчем или опцией загрузчика это отключается)

Загрузчики у всех, у кого не fastboot, собственные и закрытые. Запатчить загрузчик без рута нельзя (а у некоторых и с рутом нельзя, т.к. он тоже подписан). Получить рут без патчинга загрузчика нельзя.

Теперь на это навёрнуты ещё какие-то упоротые слои хз зачем - dm-verity, шифрование, knox, доп.проверялки всякие. Цель одна - усложнить жизнь продвинутым (нормальным) юзерам и загнать всех в одно стойло.

Не, спору нет - если юридически заставить все компании гарантировать, что они предоставят законному владельцу устройства возможность полностью сменить любое ПО на своём устройстве - тогда можно будет говорить, что все эти секьюр буты именно для безопасности. А сейчас они для ограничений.

vitalif ★★★★★ ()
Ответ на: комментарий от SakuraKun

А чё c разгоном памяти на вашем кор ебуте? 3600мгц хоть берёт? Реальная задержка памяти при этом какая?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.