Portál AbcLinuxu, 27. dubna 2024 03:59
SecureBoot podle mě není nejmenší problém. Fedora ho podporuje out-of-the-box, bez dalšího nastavení. Má totiž podepsaný bootloader Shim. V Archu se dá taky prostě buď nastavit Shim a na celou věc zapomenout, nebo se dá přidat do UEFI setupu klíč a pak podepisovat GRUB.
Nebo se taky dá SecureBoot vypnout — je to prostě checkbox v EFI setupu. Není to ideální dlouhodobá konfigurace, ale na dobu instalace … proč ne. Nebo se dá rovnou instalovat Fedora — tam bude SecureBoot fungovat ve striktním režimu už od instalačního média.
Já bych ji taky nerazil, nebýt ovšem KDE spinu, který je znamenitý — v implicitní variantě plní jinak Fedora stejnou úlohu jako Ubuntu, totiž odradit co nejvíc nových uživatelů svobodného desktopu.
Ať tak nebo tak, ve srovnání s děsem a hrůzou, které zvolil původní tazatel, bych řekl, že Fedora je pořád ještě skvělá volba a pro otestování SecureBoot a EFI je dvojnásob žádoucí.
V súčasnej podobe podpisovania je tento režim zbytočný. Jedine, že si užívateľ cez nejakú utilitu vygeneruje kľúče a podpíše zavádzač. Nasledne sa na nejaké médium uloží súkromný kľúč na prípadne overenie, či je kľúč ten správny.
Obecně souhlasím, že striktní režim s implicitním klíčem není příliš užitečný, protože je vůči tomuto klíči podepsáno příliš mnoho bootloaderů a ne všem se dá věřit.
Ověření, zda je klíč správný, provádí EFI na základě veřejného klíče, který si tam uživatel může přidat. Podle soukromého klíče, kterým je zavaděč podepsaný, se žádné ověření nedělá.
Soukromý klíč si sice uživatel může uložit na "nějaké médium", ale proč by to dělal? Na EFI oddíle mám podepsaný GRUB a soukromý klíč příslušný k tomu podpisu je na druhém ("systémovém", "všechno ostatní") oddíle — samozřejmě uvnitř LUKS kontejneru. Takže běžící systém s otevřeným LUKS kontejnerem může normálně podepsat GRUB při každé jeho aktualizaci, nicméně získat ten soukromý klíč z vypnutého systému je asi tak ekvivalent útoku na celý LUKS.
U dnešních distribucí je podpora EFI bezproblémová a spíš bych se obával podpory zastaralého BIOSu než podpory EFI. Rozumné distribuce (například Fedora, Arch) mají dual boot instalační média už snad 10 let nebo déle. Mimochodem, s Fedorou je dokonce SecureBoot rovnou funkční ve striktním režimu, bez jakýchkoliv dalších nastavení.
Provozuju Arch jak na nejnovějším Dell XPS 13 s Thunderbolt dockem, tak i na letošním Lenovu X1 Carbon a všechno tam funguje. HP EliteBook by neměl být až tak odlišný.
…aktualni stabilni debian…
Tohle^^^ je oxymoron. Nemůže být aktuální a zároveň "stabilní" (byť to slovo znamená něco zcela jiného [zastaralý], než co většina uživatelů očekává [spolehlivý]).
Doporučuji zkusit distribuci, která není jeden velký oxymoron. Stáhnout a nahrát flashdisk s Fedorou je otázka maximálně pěti minut — pak se hned ukáže, jestli to bootuje nebo ne.
A ako vysveliš oops a nasledne zlyhanie grafického výstupu pri určitej verzii jadra.
Arch je na hranie. Nie na realne použitie.
Mimochodem, s Fedorou je dokonce SecureBoot rovnou funkční ve striktním režimu, bez jakýchkoliv dalších nastavení.*buntu na ktere neustale trapne hazis spinu, umi SecureBoot samozrejme take bez "jakýchkoliv dalších nastavení" a umel to drive nez Fedora (Ubuntu od 12.10 (2012/10), Fedora od 18 (2013/01))...
Byl tady jeden takový tobě podobný fanoušek, který neustále adoroval Ubuntu. Zvláštní je, že se vytratil zhruba ve stejné době, kdy ses naopak objevil ty… Každopádně, Ubuntu je LINUXOVÁ DISTRIBUCE, jedna z mnoha. Takže tvůj argument o tom jestli něco umí nebo ne je naprosto nesmyslný, protože to není zásluha Shuttlewortha a jeho peněz, ale mnoha jiných vývojářů s nimiž Ubuntu mělo společného jen to, že implementovalo jejich aplikace. Ostatně, tak jako jiné distribuce.takze ty ses jeste k tomu paranoidni? ne opravdu nejsem "Petr Tomeš".
takze ty ses jeste k tomu paranoidni? ne opravdu nejsem "Petr Tomeš".Vykazuješ stejné rysy. Každému normálnímu člověku je u zadku, jestli jeho distribuce potřebnou funkcionalitu získala dříve či později. Podstatné je pro něj pouze to, jestli ji má.
Tiskni Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.