Релиз Coreboot 4.11

с какой стати опенсорс firmware будет «гораздо лучше и стабильнее» по сравнению с firmware от производителя

Если firmware от производителя глючит, ты это никак не исправишь (исходников-то нету!), а производитель на твою плату давно забил. Или офиц. firmware не предоставляет продвинутых функций вроде IOMMU. Зато может шпионить, через зонд Computrace например.

планируется удаление многих плат

Традиционный вопрос: кому, блин, мешали? Их и так, ЕМНИП, не очень много…

Гуглу с интелом лень добавлять лишние if/ifdef в свои коммиты полагающиеся на некоторые функции вроде «C bootblock», которых в коде тех плат пока нету. А могли бы делать как в https://review.coreboot.org/c/coreboot/+/36908/ (отключить FMAP для плат без «C bootblock») и все были бы счастливы.

Просто я не понимаю, почему нельзя добавлять в новые коммиты, полагающихся на «нужные функции», пару отключающих if/ifdef для сохранения настолько важных плат? Возможно, это не очень удобно, но из двух зол лучше выбирать меньшее.

Можешь сделать дискету FreeDOS с танчиками и добавить в собранный коребут одной командой

./build/cbfstool ./build/coreboot.rom add -f ./path_to/freedos.img -n floppyimg/freedos.lzma -t raw -c lzma

А в Kolibri танчики уже есть, правда немного другие - http://wiki.kolibrios.org/wiki/File:Tanks.PNG

Это ставит под, угрозу множество важных плат на базе AMD

Кто мешает продолжать использовать старую версию coreboot для этих плат?

Как по мне, то решение правильное - фокусироваться на свежем железе и не отвлекаться на зоопарк древних железок.

Ну и сука же ты

AMD Padmelon, ASUS P5QL-EM, Emulation QEMU-AARCH64, Google Akemi / Arcada CML / Damu / Dood / Drallion / Dratini / Jacuzzi / Juniper / Kakadu / Kappa / Puff / Sarien CML / Treeya / Trogdor, Lenovo R60, Lenovo T410, Lenovo Thinkpad T440P, Lenovo X301, Razer Blade-Stealth KBL, Siemens MC-APL6, Supermicro X11SSH-TF / X11SSM-F.

Где, где взять весь этот металлолом? Когда уже будет поддержка хотя бы плат на X99 чипсете или C602? Стоит ли ожидать поддержку хотя бы GIGABYTE GA-X99-Designare EX или ASUS ROG RAMPAGE V EDITION 10?

Это ставит под, угрозу множество важных плат на базе AMD, в том числе сервер ASUS KGPE-D16 — самый мощный поддерживаемый coreboot-ом сервер, к тому же способный работать без блобов (libreboot).

А вот это уже реальное огорчение… ASUS KGPE-D16 это реально годный ветеран всех времён и народов, до сих пор у меня крутиться с libreboot, правда уже в качестве декстопа на даче, но всё равно справляется со своими задачами получше чем новоявленные райзены.

НУЖНО! Мечтаю прошить свой елитбук, но как-то руки не доходят..

Secure Boot придуман ИСКЛЮЧИТЕЛЬНО для того, чтобы ограничить пользователя в праве использования собственного компьютера.

Какая у вас классная паранойя.

вау будущее уже наступило а я проморгал )

Если использовать старый coreboot для этих плат, ты не получаешь улучшений общего для всех плат кода вроде libpayload, если их не бэкпортировать вручную. Большинство из улучшений пока что не полагаются на функции, из-за отсутствия которых в коде те платы сейчас удаляют.

Самое время бежать за коребутной платой с БИОС-чипом побольше :) Благодаря LZMA-сжатию добавляю к себе в коребут 8 дискет (коребут на G505S занимает меньше 1МБ из 4МБ) и остаётся свободное место. А если твой Ethernet-контроллер поддерживается в Kolibri, можешь прям из БИОСа заходить в интернет и чатиться по IRC с самопальным шифрованием ;-) https://board.kolibrios.org/viewtopic.php?f=11&t=3734

Со всем этим можно поиграться в QEMU, собрав специальный образ коребута с выбором платформы QEMU в make menuconfig.

вопрос на миллион, как на их сайте найти список поддерживаемого железа?

в

git clone https://review.coreboot.org/coreboot && cd ./coreboot/ && make menuconfig

наиболее полный список, но он может включать в себя и те платы, работа над которыми пока ещё ведётся и что-то важное может не работать. Поэтому лучше ориентироваться на https://coreboot.org/status/board-status.html - выбирать из плат, для которых пользователи недавно присылали свежий отчёт board status, и разумеется почитать список рассылки coreboot что там про них пишут

Эх… мой старенький ASUS Sabertooth 990FX R2.0 наверное еще не скоро заведётся под этим. Печально.

ASUS KGPE-D16 это реально годный ветеран всех времён и народов, до сих пор у меня крутиться с libreboot

Можно поинтересоваться почему именно libreboot? Как оно в работе и всё ли поддерживается?

А портирование насколько сложное? Допустим чипсеты поддерживаются

Моделей материнок очень много - и вероятность, что кто-то портирует именно на твою модель, крайне мала. Проще найти уже поддерживаемую coreboot’ом б/у материнку с таким же сокетом на авито за косарь-два, и переставить проц. Почитай про ASUS M5A88-V - она с таким же сокетом AM3+ как у твоей платы, и была в коребуте ещё вчера (сегодня выпилили).

Зависит от похожести портируемой платы на уже поддерживаемые, и твоих навыков разумеется. От нескольких дней до месяца и выше.

Это ведь для тех, кто боится жучков прям в биосе? А они точно принимают лекарства?

libreboot - это форк коребута (с устаревшим на сегодняшний день кодом) в котором выделили платы, способные работать без блобов. Разве что с определённой переделкой под себя: например, дополнение «payload» по умолчанию в нём GRUB2 вместо SeaBIOS. Коребут избегает использования блобов когда это возможно, поэтому в плане свободы коребут для KGPE-D16 равнозначен либребуту.

«Жучки прям в биосе» - это реальность, см. Computrace и т.д. Но coreboot не только для тех кто весьма заботится о безопасности: он подойдёт и вам, если не нравится проприетарный БИОС по каким-то причинам (глюки, недостаток функций, производитель забил на твою плату)

Т.н. Фирмваре от производителя это ни разу не залог безглючности и стабильности.

А кто-то утверждал, что таки залог?

Наверное потому что прошивки производителями пишутся по принципу «шоб хоть как-то работало».

Это не объяснение. Должна быть экономическая причина. Если баги в фирмваре влияют на непосредственный выбор потребителем того или иного производителя, то это непосредственный стимул производителю повышать качество. Если такого влияния не существует в реальности, значит экономически существенной части потребителей наплевать на существующие недостатки прошивок.

Ну и сука же ты

ути-пути

А ты найди больше разрабов, которые будут за спасибо работать, они тебе всё и напишут.

осталось только даггерфолл из биоса научиться запускать

О «багах в фирмваре» пользователь узнаёт уже после того как отдал деньги производителю и поддержал его экономически. А бежать на самом деле некуда: все «проприетарщики» лицензируют основную часть БИОСа у нескольких монополистов вроде Award и Insyde и затем вносят свои малозначительные изменения. Вот и получается, что у «гигабайта» глючные БИОСы но и у «MSI» не менее глючные - всё потому что все они из одной глины мешаны.

Если БИОС разрабатывается проприетарщиком за доллары, понятное дело их пытаются потратить как можно меньше - лишь бы винда грузилась! - поэтому и результат зачастую неутешителен. Хорошо что есть такие опенсорс проекты как coreboot, которые делаются с душой.

И вот непонятно, с какой стати опенсорс firmware будет «гораздо лучше и стабильнее» по сравнению с firmware от производителя.

И вот непонятно, с какой стати верун в доброту и всемогущество производителей и певец закрытого софта ходит на сайт про линукс.

По сути тебе уже ответили: производитель всегда может на свой продукт забить. А дальше — как в анекдоте:

– Ты кто?

– Твоя смерть!

– Хм… И что?

– И ВСЁ!

Нужно взять БИОС-чип побольше (например 16МБ) и коребутную плату (желательно с сокетом для БИОС-чипа, чтобы не перепаивать), ввести новый формат виртуальной дискеты-монстра в дополнение SeaBIOS (например 28.8МБ - в 20 раз больше обычного), расширить дискету FreeDOS до этого размера, запихнуть туда даггерфолл, и добавить это добро в собранный coreboot при помощи cbfstool с использованием сжатия lzma. Нет ничего проще ;-)

Если такого влияния не существует в реальности, значит экономически существенной части потребителей наплевать на существующие недостатки прошивок.

Ну да. А из этого следует, что другая часть потребителей должна под них подлаживаться? Вот скажи, ты будешь слушать какого-нибудь Михаила Круга и «Бутырку» потому, что их слушает существенная часть твоих соседей?

у меня аж коленки задрожали

И вот непонятно, с какой стати опенсорс firmware будет «гораздо лучше и стабильнее» по сравнению с firmware от производителя.

Например, потому что он раз в 1000 меньше типичного проприетарного бивиса, и тем самым содержит в себе меньше поверхностей для атак и меньше мест, где могут возникнуть баги.

И вот непонятно, с какой стати верун в доброту и всемогущество производителей и певец закрытого софта ходит на сайт про линукс.

Я вовсе не певец ни закрытого, ни открытого софта. Просто если делаются заявления типа «надёжнее и лучше», я хочу понять, почему именно «надёжнее», и в каком месте «лучше», и понять также, есть ли под этими феноменами «надёжности» и «лучшести» какой-то экономический или общественный механизм, который предопределяет появление и (само-)воспроизведение этих «надёжностей» и «лучшестей» в данном конкретном воплощении. Или же никаких механизмов нет, а успех - всего лишь случайность, на основе отдельных юз-кейсов неадекватно раздутая до размеров мнимой универсальности. И тогда, если имеет быть место именно неадекватность, заявления о подобной «надёжности» и «лучшести» ничуть не достовернее коммерческой рекламы малоперспективных проприетарных продуктов.

Вот мы уже выяснили, что один из возможных юз-кейсов - поддержка новых процессоров старыми биосами, на которые производитель уже забил. Вполне полезный юз-кейс, и проект уже был бы адекватен/полезен, даже если бы это был его единственный юз-кейс.

Кстати, если открыть страничку «О сервере» ЛОР, то там ничего не сказано о опенсорс, а упомянут только Linux. И проприетарные продукты для Linux тоже онтопик на ЛОР.

Если БИОС разрабатывается проприетарщиком за доллары, понятное дело их пытаются потратить как можно меньше - лишь бы винда грузилась! - поэтому и результат зачастую неутешителен. Хорошо что есть такие опенсорс проекты как coreboot, которые делаются с душой.

Звучит так, как будто все пользователи, которые собирают компы или делают апгрейд материнки уже купленному компу, первым делом меняют биос на coreboot, иначе винда только загрузится. А те, кто не знают о coreboot - у них комп после загрузки винды сразу виснет и они бегут в сервис центр сдавать комп по гарантии?

Например, потому что он раз в 1000 меньше типичного проприетарного бивиса, и тем самым содержит в себе меньше поверхностей для атак и меньше мест, где могут возникнуть баги.

По той же причине можно пересобирать Linux под свой аппаратный конфиг и настраивать файрвол. Только на сколько это целесообразно для среднестатистического пользователя?

Secure Boot придуман ИСКЛЮЧИТЕЛЬНО для того, чтобы ограничить пользователя в праве использования собственного компьютера.

Какая у вас классная паранойя.

Такая же симметрично классная, как у тех, кому нужен secure boot.

Тебе для «среднестатистического пользователя» или для себя? Это вот как вендотролли постоянно говорят от имени некоего «простого пользователя».

Опенсорс тем и силён, что даёт возможность выбора. Хочешь — берёшь дефолтную убунточку. хочешь — настраиваешь всё под себя… да даже в той же убунточке.

Coreboot же по умолчанию — не для всех (за исключением случаев, когда он предусмотрен на железе сразу, это экзотика, но ссылки на такое железо на ЛОРе проскакивали).

Что нужно знать/уметь чтобы запилить поддержку свой платы в coreboot ? С чего начать ? Допустим я знаю C# и пишу на нем пару лет, есть старенькая материнка и китайский программатор.

С чего начать?

с util/autoport

Не вижу проблем в ограничениях пользователя собственного компьютера.

Например, практически все специалисты по GNU/Linux рекомендуют использовать права ограниченного пользователя для повседневной работы.

В ограничениях нет проблемы до тех пор, пока существует задокументированный способ их обойти. С Secure Boot дела на компьютерах общего назначения обстоят именно так.

Не вижу проблем в ограничениях пользователя собственного компьютера.

Ограничения - это проблема (потому что ограничения надо обходить или убрать, то есть совершить действие для решения проблемы). Твое утвреждение «Не вижу проблем в ограничениях» - это противоречие.

Например, практически все специалисты по GNU/Linux рекомендуют использовать права ограниченного пользователя для повседневной работы.

Кому рекомендуют? Другим специалистам, понимающим зачем нужны ограничения? Одни специалисты с профессиональной параноидальной деформацией рекомендуют другим с такой же проф.деформацией.

Для обычного пользователя-незнайки это всё так и выглядит - шизики с навязчивыми идеями про ограничения. Хорошо, что не социально опасные шизики - позапрещают всё (как в госдуме)

:)

В ограничениях нет проблемы до тех пор, пока существует задокументированный способ их обойти. С Secure Boot дела на компьютерах общего назначения обстоят именно так.

И какой задокументированный способ обойти Secure Boot? Украсть приватные ключи у MS и подписать свой загрузчик?

Отключение через меню bios/uefi - это это про возможности биоc, а не про secure boot.

Ну ты ещё на javascript предложи писать.

У проприетарного UEFI на моём ноуте большие проблемы с загрузкой линукса - https://askubuntu.com/questions/451638/ubuntu-14-04-loads-to-purple-screen-on-lenovo-g505s-nomodeset-wont-work?rq=1

I happen to own the same model and ran into the same problem. I have tried everything starting from editing grub, installing different kernels, trying proprietary drivers, converting to efi partition, booting with battery ejected.

After 6 months of trying, I find it weird to say that what solved problem was moving network boot to top of boot order (with BIOS in legacy mode).

Как видишь, проприетарщина может быть настолько глючной, что у людей уходит куча времени чтобы нашаманить «правильные настройки». Зачем-то поставить сетевую загрузку вверх списка - до этого ещё додуматься надо!

Прежде всего выяснить, какой архитектуры твоя плата, её южный мост и прочее; затем посмотреть, поддерживается ли такое железо в коребуте. Если всё поддерживается - очень хорошо, собираем всё вместе и пытаемся запустить, возможно меняя номера портов и прочие конфиги. А если чего-то нет, придётся добавлять поддержку в соответствии с доступной документацией и опенсорсным кодом. Подробнее расказано тут: https://www.coreboot.org/Developer_Manual

Ограничения - это проблема

Одни специалисты с профессиональной параноидальной деформацией рекомендуют другим с такой же проф.деформацией.

Может тогда и Protected Mode — проблема? Давайте вместо Linux использовать TempleOS — там нет таких «проблем», всё работает в ring0 с плоским 1:1 отображением памяти.

Может быть проверки синтаксиса и типов в компиляторах — проблема? Или существование фаерволов на маршрутизаторах, ведь они ограничивают прохождение пакетов через него?

Отключение через меню bios/uefi - это это про возможности биоc, а не про secure boot.

Secure Boot является частью прошивки системы, и включает в себя инструменты для настройки.

А что научились запускать CoreBoot на Хасвеллах?

2.5ггц феном лучше райзенов? Опять из кащенки поциенты на лор просачиваются?

С Android примерно то же самое

С Android не то же самое. Верифицированная загрузка там была изначально и цель её была изначально именно в том, чтобы запретить пользователям менять ОС.

Загрузчик стал проверять boot (но патчем или опцией загрузчика это отключается)

Загрузчики у всех, у кого не fastboot, собственные и закрытые. Запатчить загрузчик без рута нельзя (а у некоторых и с рутом нельзя, т.к. он тоже подписан). Получить рут без патчинга загрузчика нельзя.

Теперь на это навёрнуты ещё какие-то упоротые слои хз зачем - dm-verity, шифрование, knox, доп.проверялки всякие. Цель одна - усложнить жизнь продвинутым (нормальным) юзерам и загнать всех в одно стойло.

Не, спору нет - если юридически заставить все компании гарантировать, что они предоставят законному владельцу устройства возможность полностью сменить любое ПО на своём устройстве - тогда можно будет говорить, что все эти секьюр буты именно для безопасности. А сейчас они для ограничений.

А чё c разгоном памяти на вашем кор ебуте? 3600мгц хоть берёт? Реальная задержка памяти при этом какая?

И как быстро подыхает чип биоса от перезаписи при таких эксперементах?