LINUX.ORG.RU

Серверная платформа на основе coreboot

 


2

2

В рамках проекта System Transparency и партнерства с Mullvad серверная платформа Supermicro X11SSH-TF была перенесена в систему coreboot. Эта платформа является первой современной серверной платформой с процессором Intel Xeon E3-1200 v6, также известным как Kabylake-DT.

Реализованы следующие функции:

  • Добавлены драйвера ASPEED 2400 SuperI/O и BMC.
  • Добавлен драйвер интерфейса BMC IPMI.
  • Проверена и измерена функциональность загрузки.
  • В superiotool добавлена поддержка AST2400.
  • В inteltool добавлена поддержка Intel Xeon E3-1200.
  • Добавлена поддержка модулей TPM 1.2 и 2.0.

Исходники находятся в проекте coreboot и имеют лицензию GPLv2.

Почему это важно?

Разработка прошивки с закрытым исходным кодом была стандартом де-факто для электронной промышленности с момента ее появления. Ситуация не изменилась, даже когда в других областях стало появляться все больше проектов с открытым исходным кодом. Теперь, когда появляется больше вариантов применения прошивок и устанавливаются строгие требования к безопасности, важно вести их разработку с открытым исходным кодом.

>>> Подробности

anonymous

Проверено: Shaman007 ()

ASUS KGPE-D16 вполне поддерживается GCoreboot'ом, стоит на али где-то 9 тысяч россиянских рухлей, 16 ядерные оптероны - по 5-6. DDR3 ECC Registered память - на развес. Никакого AMD PSP и прочих закладок.

Meyer ★★★ ()

Это не изменилось, даже когда в других областях стало появляться все больше проектов с открытым исходным кодом.

А почему оно должно было измениться-то?

sT331h0rs3 ★★★★★ ()
Ответ на: комментарий от anonymous

А многопоток там как у i3, хаха. На производительность одного ядра лучше не смотреть, при людях, а то не поймут внезапного ржача.

Нет, в многопокпоке эти оптероны еще неплохи. Думаю, тем, кому важно железо без сюрпризов, производительность не так важна.

Meyer ★★★ ()
Ответ на: комментарий от anonymous

Производительность там нормальная для такой (без закладок) платформы. В этих ваших новых зионах невыпиливаемый Intel ME (ви таки думаете, что отключили его, гои?), а в эпиках - AMD PSP.

Meyer ★★★ ()
Ответ на: комментарий от dv76

А разве PSP не отключается в сетапе? Вроде даже картинки биосов были, попадалось.

Нет, эта штука (точнее, ARM процессор, на котором непонятно что крутится) используется для инициализации, тренировки памяти, ускорения шифрования и кучи всего. Этот зонд глубже, чем ME даже.

Meyer ★★★ ()
Ответ на: комментарий от hobbit

У меня GA-H61M-S2PV с Xeon E3-1270 (не проверял, можно ли вставить v2). Эта материнка продается в DNS до сих пор. UPD: уже нет, пару месяцев была. Если нужна с Coreboot - могу уступить за небольшой прайс вместе с i5-2500, я ее почти не использовал.

Meyer ★★★ ()
Последнее исправление: Meyer (всего исправлений: 1)

Прикольно, вот если еще для супермикры X9 серии делали бы прошивки, вообще огонь было бы. Там из плюсов iKVM сделан не на JAVA, а на HTML5

init_ ★★★ ()
Ответ на: комментарий от dv76

Отключается после того, как выполнит необходимые действия (тренировка памяти, возврат системы из S3). Точнее, ты доверяешь корпорации AMD, которая обещает, что PSP отключается. Гарантировать это (например, просмотрев код прошивки PSP или вырезав этот проприетарный блоб) ты не можешь

Того же самого можно добиться и с Intel, взведя недокументированный HAP-бит. Но у Intel дополнительно можно обрезать у прошивки секции, в которых лежит код, не требуемый для старта. Доверие доверием, но без большей части кода и потенциальный вред от блоба меньше.

Для AMD готовых инструментов для обрезки пока нет, хотя работа в этом направлении идёт. Кроме того, по ссылке можно встретить намёки на то, что AMD налажала с подписыванием прошивки PSP, что позволяет, в теории, инжектировать туда посторонний код (а мы ещё смеялись над аналогичным фейлом Intel). Эта тема ещё ждёт своих исследователей, наподобие ребят из Positive Technologies, которые ковыряют платформу Intel.

MozillaFirefox ★★★★ ()
Последнее исправление: MozillaFirefox (всего исправлений: 6)

Хотите настоящую свободу - берите Talos II от RaptorCS https://www.raptorcs.com/

Там всего 3 блоба - контроллер SAS/SATA, сетевая карта и прошивка HDD / SSD. Для сетевой карты уже есть свободная прошивка, но она еще не полнофункциональная.

Сравнение с x86: https://wiki.raptorcs.com/wiki/Platform_Comparison

DeinHerr ()
Ответ на: комментарий от hobbit

ASROCK H110M-DVS, например. Skylake/KabyLake ещё вполне бодрые процы, хоть и четырёхъядерные.

В принципе, если заморочиться, наверное, можно и поддержку 6-ядерников CoffeeLake закодить для этой материнки. По крайней мере, с родным UEFI это прокатывает после небольшой замены блобов в прошивке и замыкания/изоляции контактов на проце.

MozillaFirefox ★★★★ ()
Последнее исправление: MozillaFirefox (всего исправлений: 3)

Не нужно никаких Supermicro в coreboot, там итак все шоколадно и без coreboot

Нужно в coreboot:

Manufacturer: ASUSTeK COMPUTER INC.
Product Name: ROG CROSSHAIR VI EXTREME
Version: Rev 1.xx

и

Manufacturer: ASUSTeK Computer INC.
Product Name: M4N98TD EVO
Version: Rev 2.00

Впрочем, если есть EFI на плате, да знаете что такое rEFInd и dracut то и сам coreboot не так актуален. Да и M4N98TD EVO намерен заменить на аналогичные с EFI.

perestoronin ★★★ ()
Последнее исправление: perestoronin (всего исправлений: 1)
Ответ на: комментарий от dv76

Ну отдашь ты за талос в сотни раз больше пяточка, за который можно взять Libreboot материнку.

А потом выяснится, что вне зависимости от отсутствия блобов в контроллерах матплаты, в самом проце зашит блоб с виртуализирующим трояном для отрицательного ринга столь современного и мощного CPU.

И плата за пяточок была бы, быть может, в разы секурнее при правильной изоляции DMA устройств выносом их на другие хосты через IP стэк типа iSCSI и т.п. по крайне мере если использовать ее только в режиме клиента с open source софтом, а не сервера для других неизвестных софтварных блобов (chrome, skype и т.п.) в виртуалках этого компа.

simoshina ()
Ответ на: комментарий от perestoronin

Впрочем, если есть EFI на плате, да знаете что такое rEFInd и dracut то и сам coreboot не так актуален. Да и M4N98TD EVO намерен заменить на аналогичные с EFI.

Редактор менюшек в виде EFI плагина для заблобированного загрузчика решает все проблемы с BIOS троянами, а мы и не знали.

Почем бы не ограничится редактором меню GRUB? Тогда и Talos ненужен, логика же.

anonymous ()
Ответ на: комментарий от perestoronin

Не нужно никаких Supermicro в coreboot, там итак все шоколадно и без coreboot

Даешь спектрум с 4 мегами рамы! и 16к окном для ее перебора для самых ультрасовременных UNIX систем типа хреникс.

anonymous ()
Ответ на: комментарий от perestoronin

В сoreboot нужна поддержка Asus VIII Hero. Сейчас это воистину народная плата, которая при цене порядка 5 тысяч имеет очень качественную подсистему питания, что позволяет с небольшой допилкой вставить любой актуальный проц, включая официально несовместимые с нею 8-ядерники и даже разгонять вплоть до частот порядка 5 ГГц.

MozillaFirefox ★★★★ ()
Последнее исправление: MozillaFirefox (всего исправлений: 2)
Ответ на: комментарий от Meyer

Очень радует что всё больше компаний обращают внимание на coreboot. Даже если пользуешься амдшной материнкой без бэкдора PSP - а не их продуктом - все равно эти компании помимо кода для своих плат хоть что-то да коммитят в общий код, улучшая жизнь всем коребутчикам.

SakuraKun ★★ ()

Современная серверная платформа...

https://www.supermicro.com/en/products/motherboard/X11SSH-TF

Form Factor - Micro-ATX

Memory Capacity - 64GB Unbuffered ECC UDIMM, DDR4-2400MHz, in 4 DIMM slots

Single socket H4 (LGA 1151)

Chipset Intel® C236

Блин, аж скулы сводит... Это НЕ серверная платформа. Из всего «серверного» там разве что два Eth и IPMI

anonymous ()

на кэбилейке говорите? а можно будет туда вкоряить что посвежее? соккет же тот же а несовместимость искусственная

anonymous ()