UEFI and Fedora

Производитель заинтересован в том, чтобы железо купили. Поэтому он обеспечит совместимость со старым софтом, напихав в прошивку хаков и костылей. Благодаря этому на современном компьютере (пока что) можно запустить DOS, и он даже будет более-менее работать (при правильной настройке систенмой прошивки) — без какой-либо поддержки со стороны ОС заработает USB-мышь, клавиатура, и даже флешка, откуда грузится этот DOS.

Просто в какой-то момент костылей становится настолько много, а разрыв поколений между железом и софтом таким большим, что проще забить на обратную совместимость, потеряв очень малую долю покупателей, но удешевив разработку.

Сейчас стало модным на каждый чих обновлять без разрешения пользователя критичный софт

Это делает разработку дешевле. Можно перетащить часть функций железки в софт, и не так тщательно тестировать его. А если обнаружена ошибка, то не отзывать партию, а просто выкатить обновление.

которая на деле уникальность/эксклюзивность

Наоборот же. Сейчас можно один раз написать модуль для EFI и запихивать его всюду, в любые прошивки. И писать код стало сильно проще — нет прежних ограничений на размер модуля в 64К, сложностей с хуками, необходимостью знать язык ассмеблера. Да, из-за этого сама реализация UEFI содержит несколько сотен модулей и выглядит раздутой, и больше похожа на ОС, чем на программу инициализации минимального набора железа для запуска ОС.

Старые биосы куда более эксклюзивны. Если производитель забросил платформу, то добавить туда поддержку какого-то нового стандарта будет очень непросто.

На форумах биос-моддеров люди даже без какого-либо умения программировать разбирают UEFI на модули готовыми утилитами и перекидывают их с одной платформы на другую, применяют готовые патчи. Вытащить процедуру из AWARD BIOS и засунуть её в какой-нибудь PhoenixBIOS (или даже AWARD другой версии) уже гораздо более нетривиальная задача.

Искусственная сложность efi - это вообще малая из проблем искусственной «универсальности», которая на деле уникальность/эксклюзивность.

А какая самая большая проблема у (U)EFI?

А какая самая большая проблема у (U)EFI?

Нет у UEFI никаких особых проблем. Всё нормально работает.

То, что есть 32-х битные UEFI, которые иногда ставят в железо со свежими 64-х битными процами. И не все дистрибутивы GNU/Linux'а готовы к такому повороту.

И не все дистрибутивы GNU/Linux’а готовы к такому повороту.

Это проблема дистрибутивов, а не UEFI. 32-х битный UEFI документирован в стандарте.

А какая самая большая проблема у (U)EFI?

Повторюсь

искусственная «универсальность», которая на деле уникальность/эксклюзивность.

Придумали интерфейс для того, чтобы легче было напихать уникального софта от производителя, да побольше. Нет там ничего универсального, кроме самого интерфейса.

Дело не в EFI, а в Федоре. Пусть новые борды выпускают с EFI. Однако:

1. Всё еще полно железа с поддержкой BIOS.

2. Это железо либо было сконфигурировано загружаться в легаси режим специально из-за каких-нибудь проблем совместимости. Либо вообще пользователем не конфигурировалось, а легаси там включен по дефолту с завода.

3. Обновиться в таком конфиге на Федору без Grub либо невозможно вообще, либо невозможно без серьезного ручного вмешательства.

4. У систем виртуализации также всё еще проблемы с EFI.

Не понимаю. Если все интерфейсы документированы и универсальны, а система модульная, значит можно разобрать на модули и рекомбинировать. А в стандарте описать необходимый набор протоколов, реализовав который прошивка может считаться UEFI. На этот стандарт могут опираться ОС и загрузчики, делая вызовы к сервисам и создавая зависимости на их поведение.

А раньше был монолит, в который производитель мог напихать непонятно что. И надо было угадывать, какие фичи реализованы, а какие нет, в каких какие баги, и как их обходить. Все вызовы делались по номерам, которые непонятно как выделялись. Option ROM’ы хучили сервисы (и иногда даже патчили код и данные), что вносило ещё больше неразберихи. И для поддержки всего этого требовались более дорогие программисты.

То, что есть 32-х битные UEFI, которые иногда ставят в железо со свежими 64-х битными процами. И не все дистрибутивы GNU/Linux’а готовы к такому повороту.

Этим китайцы раньше грешили. Да и сейчас наверное продолжают. Просто смысла нет ставить 64-битную винду на машину с распаянными двумя гигами ОЗУ. Соответственно и загрузчик 32-битный.

Линукс проверял — заводится. Но груб пришлось вручную накатывать.

Линукс проверял — заводится. Но груб пришлось вручную накатывать.

Да, заводится, но удобство установки у разных дистрибутивов разное.

Такие дистрибутивы как, например, Debian или Mageia можно поставить и даже разницы в разрядности UEFI не заметить. А ряд других дистрибутивов (на данный момент к ним и openSUSE относится) можно только напильником протолкнуть.

Производитель заинтересован в том, чтобы железо купили.

Допустим (эту гипотезу).

Поэтому он обеспечит совместимость со старым софтом, напихав в прошивку хаков и костылей.

Откуда следует это вывод? Почему производитель не будет стимулировать покупать эксклюзивный софт от производителя?

Благодаря этому на современном компьютере (пока что) можно запустить DOS

Благодаря UEFI? Как запустить DOS из-под UEFI? Ты про что, вообще?

Да, из-за этого сама реализация UEFI содержит несколько сотен модулей и выглядит раздутой, и больше похожа на ОС, чем на программу инициализации минимального набора железа для запуска ОС.

И что мешает писать ОС как нормальные люди, а не заниматься хакерством прошивок? Что мешает написать один раз стандартный (минимальный) загрузчик ОС и грузить ОС, или не грузить ОС, а грузить приложение, которое напрямую работает с железом и памятью без дырок, в которые нельзя соваться, а то биос испортится, или intel me с ума сойдет.

А раньше был монолит, в который производитель мог напихать непонятно что.

Сейчас, конечно же, не пихают. Конечно же, не пихают модули с нагенеренным непонятным кодом по закрытой спецификации, который по объему больше, чем старые биосы. Все прозрачно и универсально. Взял код инициализации intel и запихал в amd и заработает(?).

Откуда следует это вывод? Почему производитель не будет стимулировать покупать эксклюзивный софт от производителя?

Потому что если покупатель узнает, что его софт не работает, то он просто купит то железо, где он работает. Пока что есть, из чего выбирать. Крупные компании, обновляющие парк своих машин, уж точно не будут заинтересованы потратить просто так время/деньги на обновление софта и переобучение сотрудников, если это не принесёт какой-то существенной выгоды (например, двухкратного увеличения производительности труда), а именно они принесут больше денег производителю.

Как запустить DOS из-под UEFI?

С помощью UEFI-модуля CsmCore, который реализует BIOS-интерфейсы для старых ОС.

Что мешает написать один раз стандартный (минимальный) загрузчик ОС и грузить ОС, или не грузить ОС, а грузить приложение, которое напрямую работает с железом и памятью

Пока ни у кого не получилось придумать такой стандарт, который бы всех устраивал. Старая схема с хуками на int19, oprom с хуками на int13 и ограничением размера IPL в 512 (а то и 440) байт очевидно несёт массу ограничений. А ещё бывает сетевая загрузка, шифрованные диски, доверенная загрузка, RAID, разные файловые системы и многое другое.

Потому что если покупатель узнает, что его софт не работает, то он просто купит то железо, где он работает.

Современное ширпотребное железо может с легкостью эмулировать/виртаулизировать работу софта, при помощи софта. Тут скорее всего, дело в запудривании мозгов покупателя. Для справки, efi - это тоже софт.

С помощью UEFI-модуля CsmCore

Который не везде есть. И что, можно напрямую на диск писать?

Пока ни у кого не получилось придумать такой стандарт, который бы всех устраивал.

Это признание того, что шило на мыло?

BIOS может и устарел, но он хотя бы работает без сбоев, и после загрузки ОС уходит в небытие.

UEFI зачастую такие глючные, что не то что Linux поставить — Windows переустановить проблематично, да ещё и вдобавок из-за сложности и продолжении работы после загрузки ОС является прекрасным бекдором.

В общем, модно, современно, глючно, блотварно, шпионит и при этом делает ровно то же самое, что и старое...

UEFI зачастую такие глючные

УМВР. С глючными BIOS приходилось чаще сталкиваться.

и вдобавок из-за сложности и продолжении работы после загрузки ОС является прекрасным бекдором.

Основная часть UEFI прекращает работу после завершения boot services. В BIOS есть SMM, который тоже работает после загрузчика и является бекдором.

Вот, да. Всегда нравилось в дистрибутивах то, что можно подобрать дистрибутив под старый ноутбук. Сейчас у меня ноут работает на Фряхе, но ведь там одна система и если они решат сделать нечто подобное, то капец, короче. Из дистрибутивов Линуха пока хотя бы есть что выбирать, их ведь полно.

угумс.. этот граб через столько костылей поддержку уефи добавляет шо ппц. я бы ещё лет десять назад его выпилил или переписал, но тогда легасибиосопользоватеей было больше, а теперь меньше и почему по умолчанию должен быть неудобный для большинства загрузчик я не понимаю. но я то уже давно удаляю штатный загрузчик из дистрибутивов, но хотел бы опцию в установщике и вовсе его не ставить..

ширпотребное железо может с легкостью эмулировать

ширпотребное может эмулировать только очень старый софт

а в чём троллинг, если там малолетние дауны с мемасом systemd-фигнянейм?

свежими

тащи пруф

Таки да.

Линупс работает на любом старом ведре, говорили они.

Install Debian GNU/Linux.

Сейчас у меня ноут работает на Фряхе, но ведь там одна система и если они решат сделать нечто подобное, то капец, короче. Из дистрибутивов Линуха пока хотя бы есть что выбирать, их ведь полно.

судя по тому что у Фряхи, за все время существования, появилась всего пара форков, и те не особо популярны, можно считать что пока фряха не делала необдуманных телодвижений и соотв. не ставила пользователей перед выбором/задачей

Фёдора это тру линупс, говорили они. Его использует сам торвальдс, говорили они. Дебиан кривое фуфло, говорили они

такой же тру как дебиан, арч и генту. У каждого свои особенности. Для легаси исользуй дебиан и центос, очевидно же.

Ты еще 10 лет можешь ставить центос на биос

Ну и лесом эту пидору

судя по тому что у Фряхи, за все время существования, появилась всего пара форков, и те не особо популярны, можно считать что пока фряха не делала необдуманных телодвижений и соотв. не ставила пользователей перед выбором/задачей

судя по тому что у реактос, за все время существования, не появилась ни одного форка, можно считать что пока реактос не делала необдуманных телодвижений и соотв. не ставила пользователей перед выбором/задачей

https://nwrickert2.wordpress.com/2018/11/28/opensuse-leap-15-0-and-32-bit-efi/

Лично я на такое напоролся купив Irbis NB43 (на Atom Z3735F). Писал тогда об этом на ЛОРе: 64-битная Слака на ноутбуке Irbis NB43 с неотключаемым Secure Boot и 32-битным UEFI .

с неотключаемым Secure Boot и 32-битным UEFI .

Был у меня какой-то Irbis, но вот Secure Boot там не было.

Но говнище ещё то. Больше никогда не свяжусь с ним.

BIOS может и устарел, но он хотя бы работает без сбоев, и после загрузки ОС уходит в небытие.

Не уходит, grep ROM /proc/iomem. А код в SMRAM даже не видно никак из Linux. int10 может использоваться в Xorg и uvesafb. Много других сервисов используется на разных стадиях загрузки ядра. Тут я писал подробнее, что используется: UEFI and Fedora (комментарий)

Если хочется сделать так, чтобы системная прошивка максимально покидала систему после загрузки минимального компонентов ОС в память, то надо смотреть в сторону TXT. После выполнения SENTER не должно остаться ничего работающего (ни BIOS, ни запущенного на соседних ядрах кода), что может нарушить целостность TCB, куда можно затащить всю ОС. Но это создаст кучу сложностей много с чем, включая SMI Transfer Monitor, видеобиос и функции энергосбережения. Если бы у пользователей действительно существовала потребность в ОС, способной уводить firmware в небытие, то кто-нибудь бы уже сделал дистрибутив, решающий все эти проблемы «из коробки». Сейчас же у большинства пользователей, которые что-то слышали про TXT, TPM и Intel ME возникают ассоциации со «слежкой», и никто не пытается разобраться, как заставить всё это работать на себя.

UEFI же хотя бы специфицирует интерфейсы и рассказывает ОС, что и где остаётся.

В спецификации нигде не написано, что версии UEFI должны быть глючными. Просто производители удешевляют производство, используя более дешёвых разработчиков, менее тщательно тестируя код и больше надеятся на (авто)обновления — выпустим глючный продукт сейчас, соберём жалобы, исправим потом. Когда-то и написание BIOS требовало более квалицифированных людей, а потом объём флеша вырос до сотен килобайт, стало больше C-кода внутри.

Про бэкдоры неочевидный аргумент. С одной стороны происходит стандартизация, а значит проще написать злодейский модуль, который заработает везде. С другой стороны придумали так много разных защит, что мешают и прошить, и запустить код не от производителя. Например, готовые компьютеры от Lenovo, HP и Dell последнее время успешно проходят тесты ChipSec.

А так да, делает ровно то же самое, но без массы ограничений, которые делают жизнь и разработчика, и пользователя сложнее. Появилась загрузка с IPv6 и HTTPS, изчезли многостадийные загрузчики (теперь можно хоть 2 гигабайта кода положить в загрузчик одним файлом), стало сильно лучше с доверенной загрузкой. Не надо помнить, какой кнопкой заходить в Setup (ОС умеет перезагружаться туда), а инсталлятор ОС сам может поменять приоритеты загрузки.

Современно и блоатварно, да, это плата за универсальность. В шпионстве пока не был замечен, но и в классическом BIOS был Computrace, значит принципиально новых следящих механизмов UEFI не добавляет.

Потому что никто не будет переписывать уже работающий софт который контролит станок. Там не факт что живы те люди кто его писал.

Вот примерно поэтому.

например оборудование для производства процессоров постоянно апгрейдят или заменяют

Потому что никто не будет переписывать уже работающий софт который контролит станок.

Обеспечить realtime в эмуляторе вполне возможно. Даже лобовая интерпретация будет быстрее и отзывчевее оригинального железа DOS.

Который не везде есть.

Пока что есть на всех PC общего назначения с UEFI. Иначе возникнет проблема с совместимостью со старыми ОС.

И что, можно напрямую на диск писать?

Напрямую — это как? Если в ОС есть драйвер, то конечно можно, кто же запретит. Если речь про сервисы int13, которые предоставляют доступ к USB-диску, то да, тоже можно, но через int13 (то есть не напрямую).

У меня пару лет назад работала машина на каком-то современном Celeron, с UEFI+CsmCore, грузила с USB-флешки DOS, запускала терминальную программу, звонила модемом и успешно скачивала на эту же флешку файлы. Для DOS это просто был диск C:, без установки каких-либо драйверов и осознания факта существования USB. Клавиатура тоже на USB была.

Пока ни у кого не получилось придумать такой стандарт, который бы всех устраивал.

Это признание того, что шило на мыло?

Это я написал в контексте обсуждения раздутости UEFI и написания минимального загрузчика. Если сделать процесс загрузки PC простым и минимальным, то он сможет успешно загружаться в меньшем количестве сценариев.

Действительно, если переписать системную прошивку, загрузчики и стартовый код ядра в предположении, что существует только Linux, и он всегда находится во флеш-памяти системной платы, то можно всё сделать простым. А если надо уметь грузить и DOS, и Windows, и по сети, и кучей странных способов, да и в доверенном режиме, а пользователь может вставить в компьютер неизвестно какие платы расширения, которые тоже влияют на процесс загрузки системы, то просто уже не получится.

В результате процесс загрузки становится таким сложным, что разработчики прошивок пытаются хоть как-то всё стандартизовать, и придумывают UEFI, ведь сложная штука, побитая на модули, взаимодействующие по стандартным протоколам лучше сложного монолита. У разработчиков загрузчиков и ОС появляется возможность зависеть от наличия тех протоколов, которые обещает спецификация.

Теперь следующий логичный шаг — постепенно избавляться от обратной совместимости. Разработчики ОС перестанут поддерживать не-UEFI системы, а разработчики прошивок выкинут слой совместимости (CSM) для запуска не-UEFI ОС. Станет меньше костылей, и все от этого выиграют. Например, производители видеокарт перестанут делать двойной OpROM. Софт станет проще, а значит в нём будет меньше ошибок.

Если у вас есть идея, как не теряя универсальности сделать процесс загрузки проще без потери универсальности, то поделитесь ей. Пока что я не встречал таких идей.

Пока что есть на всех PC общего назначения с UEFI.

Не везде. Проверено. Как минимум на 2 компьютерах был только UEFI без BIOS и MBR boot.

На каких?

На каких?

Thinkpad Tablet 2, Fujitsu Arrows Tab WQ2/C1.

А оборудование для производства какой-нибудь металлической херни меняют только когда стюардесса уже окончательно разложилась.

Это не совсем PC общего назначения. Это планшет, на котором никто работу никакой ОС, кроме той, что была в магазине не обещал.

Никто ведь не удивляется, что на Android-планшеты и смартфоны на Atom Z3735F нельзя без плясок поставить Windows.

Но спасибо за предупреждение. А есть ли материнские платы для обычных PC или ноутбуки с такой же особенностью?

ну так-то на обычных компах тоже обычно только наклейки вантуза последней версии

Это не совсем PC общего назначения.

Это именно PC общего назначения. На него можно поставить Linux, BSD, Haiku и т.д.. На Линуксе всё кроме камеры работает. Бывают разные форм-факторы ПК, не только железная коробка. Чем планшеты хуже ноутбуков, моноблоков, Intel NUC - не понятно. Некоторые ноутбуки по факту являются планшетами.

Но спасибо за предупреждение.

В новости с заглавного поста утверждается, что Intel собирается везде, включая обычные материнские платы, убрать поддержку BIOS в 2020 году.

Какая в жопу основная? У меня ноутбук плющило пару лет пока уефи этот долбаный не обновил уже после окончания гарантийного срока из-за неразбираемости ноутбука после обновления уефи и невозможности сбросить его настройки после обновления как в нормальных ноутбуках. Только полная разборка с выдергиванием платы от аккумулятора. Никогда такого ужаса не видел на биосах.

Действительно, если переписать системную прошивку

Еще раз: что мешает написать простой загрузчик, типа grub с сетевой загрузкой, с модулями, драйверами, с подкиндным дураком и …? На стандартном (человеческом) языке, собрать стандартными (человеческими) сборочными системами, положить на стандартные (человеческие) устройства хранения… без паяльной станции. Чтобы любой дурак мог записать, удалить, подписать, отписать, зашифровать, расшифровать нужное или ненужное. Для того чтобы запустить свой старый текстовый редактор Лексикон с гибкого диска и печатать на матричном lpt-принтере?

Ну вообще вот USB-LPT если порта LPT на материнской плате нет. И наздоровье печатать можно. А то о чем речь это явно Coreboot. Там можно Grub или SeaBIOS или кучу всего другого воткнуть.

https://aliexpress.ru/item/4000970141756.html?spm=a2g0o.search0302.0.0.40872aa6SlPcri&algo_pvid=cdcafe0d-d8c9-4d5f-9f7f-7f93ba195699&algo_expid=cdcafe0d-d8c9-4d5f-9f7f-7f93ba195699-6&btsid=0b8b036316032806746746176ef3f5&ws_ab_test=searchweb0_0,searchweb201602_,searchweb201603_

Этот простой grub-подобный загрузчик будет находится во флеш-памяти материнской платы или на жёстком диске? Как он будет туда попадать?

Что делать тем, кому не подходят стандартные (человеческие) устройства хранения?

Как проверять целостность этого загрузчика? Как его безопасно обновлять?

Coreboot

Могут же, когда захотят. Хотя и с блобами, но gpl. А могли бы сразу грузить операционную систему вместо биосов, уефи прослоек. Прослойки на прослойках прослойками погоняют: придумали прослойку и, чтобы работать с этой прослойкой пишут слой совместимости с этой прослойкой и в загрузчике и в ОС - умножение сложности.

как обладатель старенького ноутбука, который меня в принципе всем устраивает, не сказать что рад новости.

плюсую

Еще раз: что мешает написать простой загрузчик, типа grub с сетевой загрузкой, с модулями, драйверами, с подкиндным дураком и …? На стандартном (человеческом) языке, собрать стандартными (человеческими) сборочными системами, положить на стандартные (человеческие) устройства хранения

Такой уже есть: UEFI.

Этот простой grub-подобный загрузчик будет находится во флеш-памяти материнской платы или на жёстком диске?

Как удобно пользователю.

Как он будет туда попадать?

Тут только одна проблема - как первый раз записать. Думаю, производитель сумеет с этим справиться. А потом, пусть пользователь сам решает и несет ответственность.

А то огородились, что пользователь не владелец и не контролирует устройство (не root). А если и root, то есть еще несколько отрицательных колец защиты.

И производителю огороженных устройств невыгодно давать открытый полный доступ к устройству. Вот и прикрываются дополнительными размножающими слоями абстракций, как UEFI

Жесткие диски бывают разные, они подключаются к разным интерфейсам. Интерфейс может появиться после того, как появился компьютер вместе со своей прошивкой, например в результате апгрейда пользователем. Пример из реального мира — NVMe. С этого диска пользователь может захотеть запускать загрузчик.

Если в компьютере уже есть какая-то прошивка, то ситуация ничем не отличается от текущей. Покупаем компьютер, собираем под него coreboot с опциями, специфичными для нужного конкретному пользователю применения, и получаем простую прошивку, которая не делает ничего лишнего ­— например, сразу из флеша грузит Linux, а юзерспейс живёт на единственном жёстком диске, с корнем прямо на /dev/sda. Без поддержки DOS и Windows, без возможности загрузиться по сети, если этого не нужно.

Различные защиты существуют в основном не для того, чтобы ограничить владельца от выполнения каких-то действий. Часть нужны из-за сложности отличить санкционированные действия настоящего владельца от команды, пришедшей от взломанной ОС (пользователь не будет рад, если прошивка позволит прописать в себя код злоумышленника, который нельзя будет уничтожить переустановкой ОС и/или заменой жёсткого диска). Часть нужны для ситуаций, когда владельцем машины является предприятие, а пользователь, который за ней сидит — работник, у которого прав должно быть меньше, чтобы он что-нибудь не испортил, или чтобы было проще организовать централизованное обслуживание.

Что значит «контролирует устройство»? Если я не могу просмотреть или осознать целиком топологию какой-нибудь интегральной микросхемы, то есть ли у меня над ней контроль? Тот же вопрос про компиляторы — если я не могу осознать целиком все процессы, происходящие в компиляторе, то могу ли я считать, что у меня есть контроль над машиной, если я запускаю на ней свои программы, преобразованные в машинный код этим компилятором?

Какие дополнительные возможности получу я, и каких возможностей лишится производитель железа+софта, которое я купил, если я научусь с лёгкостью преодолевать любые кольца защиты и читать/писать их память и/или запускать там свой код?

Контроль на уровне «ну вроде я ввёл какую-то команду, а компьютер сделал то, результат чего похож на правильное исполнение этой команды» у нас и так есть.