https://www.opennet.dev/openforum/vsluhforumID3/117844.html После двух лет разработки представлен (https://lists.gnu.org/archive/html/grub-devel/2019-07/msg00000.html) стабильный релиз модульного многоплатформенного менеджера загрузки GNU GRUB (http://www.gnu.org/software/grub/) 2.04 (GRand Unified Bootloader). GRUB поддерживает широкий спектр платформ, включая обычные ПК с BIOS, платформы IEEE-1275 (оборудование на базе PowerPC/Sparc64), EFI-системы, RISC-V, оборудование на основе MIPS-совместимого процессора Loongson 2E, системы Itanium, ARM, ARM64 и ARCS (SGI), устройства, использующие свободный пакет CoreBoot.<br><br><br><br>Основные новшества (http://git.savannah.gnu.org/cgit/grub.git/tree/NEWS?h=grub-2.04):<br><br><br>- Поддержка архитектуры RISC-V;<br>- Поддержка режима виртуализации Xen PVH (комбинация паравиртуализации (PV) для ввода/вывода, обработки прерываний, организации загрузки и взаимодействия с оборудованием, с применением полной виртуализации (HVM) для ограничения привилегированных инструкций, изоляции системных вызовов и виртуализации таблиц страниц памяти);<br>- В https://www.opennet.dev/openforum/vsluhforumID3/117844.html#104 Wed, 10 Jul 2019 15:30:57 GMT &gt; Хотя, если само сообщение не типовое "Все ОК, хозяин!", а служит вторым контрольным фактором (или как оно правильно называется) , т.е. задается индивидуально, не зависит от вводимого ключа, хранится в секрете и по его (отсутствующему или не соотв.) выводу можно увидеть, что загрузчик был заменен, то да.<br><br>Где я говорил выводить " Все хорошо!"?<br><br>Антибуткит должен выводить только сообщение когда "все плохо" и гарантировано останавливать загрузку.<br><br>А если все хорошо - ничего не выводом и продолжаем загрузку.<br><br>https://www.opennet.ru/openforum/vsluhforumID3/117844.html#100<br> https://www.opennet.dev/openforum/vsluhforumID3/117844.html#103 Wed, 10 Jul 2019 09:57:26 GMT диалог напомнил как в детском саду двое плюются друг в друга :D<br> https://www.opennet.dev/openforum/vsluhforumID3/117844.html#102 Tue, 09 Jul 2019 13:33:24 GMT &gt; Фейковый загрузчик при первой загрузке не будет знать что в шифрованом /boot, <br>&gt; только пароль/ключ для его расшифровки успеет украсть.<br>&gt; На grub cmd пытаюсь навалять простенький скрипт, с проверкой. Если проверка не <br>&gt; прошла, то вывод сообщения и команда halt. При первой загрузке зловредный <br>&gt; буткит ничего не знает о проверке, сообщении и команде halt.<br><br>Т.е. надеемся на "security by obscrutity" или на эффект "неуловимого Джо" - т.е. на то, что никто не напишет спецзагрузчик? ;)<br><br>Хотя, если само сообщение не типовое "Все ОК, хозяин!", а служит вторым контрольным фактором (или как оно правильно называется) , т.е. задается индивидуально, не зависит от вводимого ключа, хранится в секрете и по его (отсутствующему или не соотв.) выводу можно увидеть, что загрузчик был заменен, то да. <br>Единственное неудобство - вынужденный вывод на экран и возможность довольно легко подсмотреть посторонним. <br> https://www.opennet.dev/openforum/vsluhforumID3/117844.html#101 Tue, 09 Jul 2019 12:51:57 GMT &gt; Т.е. вы беретесь "на глаз" различить, действительно ли был запущен ваш антибуткит или это фейковый вывод подставного загрузчика? o_O<br><br>Фейковый загрузчик при первой загрузке не будет знать что в шифрованом /boot, только пароль/ключ для его расшифровки успеет украсть.<br><br>На grub cmd пытаюсь навалять простенький скрипт, с проверкой. Если проверка не прошла, то вывод сообщения и команда halt. При первой загрузке зловредный буткит ничего не знает о проверке, сообщении и команде halt.<br><br>&gt; Но как это сможет гарантировать целостность и секретность / ?<br><br>Криптографическая целостность / гарантируется применяемыми алгоритмами шифрования для /, а гарантии секретности данных в / сохраняются потому что не был введён пароль для их расшифровки. (Если только ключ для расшифровки / не хранится в /boot)<br><br>Скомпроментироваными можно считать все что есть до / в процессе загрузки.<br> https://www.opennet.dev/openforum/vsluhforumID3/117844.html#100 Tue, 09 Jul 2019 12:38:03 GMT Да не важно сколько там выравнивание, важно что в нём будет..<br><br>Как на GRUB cmd, написать проверку от буткитов? Пробывал опять, не получилось. Все нужное почти есть:<br><br>Получение информации:<br>cmosdump, lspci, usb, pcidump, vbeinfo, net_ls_cards,...<br><br>Верификация:<br>verify_detached, hashsum --hash ...<br><br>Стандартный синтаксис bash:<br>if, else, fi, ...<br><br>Мне не хватает '&gt;' или '&#124;'.<br><br>Может предложешь что или таки надо патчить этот GRUB cmd?<br> https://www.opennet.dev/openforum/vsluhforumID3/117844.html#99 Tue, 09 Jul 2019 09:50:39 GMT умеет<br> https://www.opennet.dev/openforum/vsluhforumID3/117844.html#98 Mon, 08 Jul 2019 22:24:22 GMT мне вот понравилось поддержка секьюрбут. Мегаплюс!<br> https://www.opennet.dev/openforum/vsluhforumID3/117844.html#97 Mon, 08 Jul 2019 18:53:21 GMT &gt; Нехилые у них минорные релизы ...<br><br>Это потому что у них минорный релиз раз в пару лет ;)<br> https://www.opennet.dev/openforum/vsluhforumID3/117844.html#96 Mon, 08 Jul 2019 14:04:12 GMT документация - трэш. uefi-pxe - неработоспособный трэш<br>последние внятные изменения в коде десять лет назад<br><br>выкрасить и забыть, прошло его время.<br>