Подписывание сторонних модулей ядра при использовании SecureBoot

[techquisitor]

Современные EFI/BIOS в последнее время порой идут с неотключаемым SecureBoot или же порой очень сложно найти, где оно отключается. Зачем он нужен и какую пользу приносит, об этом как-нибудь в другой раз. Слишком обширная тема

Comments

[avnik]

О!
Мне в кои то веки есть что сказать на указаную тему (правда только про UEFI, без secure boot будь он неладен)

Я тут прикупился матплатой у братьев китайцев (с ксеоном и памятью).
В итоге матплата (и линукс) не видят ECC.
UEFI не хочет грузить нашу загрузочную флешку (точноее только в легаси, а дальше после бутлоадера хрен вам, а не usb флешка).
И главное отказывается видеть ESP разделы (почему-то, которые предыдущая матплата видела).
Видим только флешку с OpenCore UEFI shell, c которой приходится шаманить
fs0:
cd EFI\blabla\
GRUBx64.EFI
(можно ли это заскпритовать, и приклеить флешку скотчем, пока не починят)

В процессе этих танцев я узнал много больше про UEFI и современный state of play чем я хотел

[techquisitor]

> можно ли это заскпритовать, и приклеить флешку скотчем, пока не починят
По идее можно. Смотреть сюда: https://www.intel.com/content/dam/support/us/en/documents/motherboards/server/sb/efi_instructions.pdf

Хинт: startup.nsh

[avnik]

Ну вот ровно таким скриптом, Найти любой fsN: в котором есть EFI\BOOT\GRUB\GRUBx64.EFI и запустить его.
Или засунуть туда скрипт, который будет выправлять после ресетов.
А флешку приклеить.
Я только не могу понять, ЧЕМ ему мои ESP разделы не нравятся. (впрочем скорее всего тем, что там MBR а не GPT как оказалось, хотя я вроде gdisk'ом делал). Видимо исправлю когда буду меньший диск заменять в зеркале (в качестве плановых работ)

PS А вы коллега не в курсе, что в биосе надо включить чтобы заработал sbridge EDAC? Или китайцы его испортили намертво, и надо ждать, пока умельцы починят?

[techquisitor]

> что в биосе надо включить чтобы заработал sbridge EDAC
Оно само работает. Так что китаёзы тут накосорезили.

[avnik]

накосорезили потому что

[69361.872852] EDAC sbridge: CPU SrcID #0, Ha #0, Channel #0 has DIMMs, but ECC is disabled
[69361.872858] EDAC sbridge: Couldn't find mci handler
[69361.872859] EDAC sbridge: Couldn't find mci handler
[69361.872860] EDAC sbridge: Failed to register device with error -19.

надо конечно порыться там в кишочках настроек, по словам EDAC и sbridge

[techquisitor]

Сколько видел серверных материнок, нигде не требовалось как-то отдельно ECC включать. Достаточно было воткнуть соответствующую память.

[avnik]

ну так оно же не совсем серверное - братья китайцы делают из refurbished чипсетов x99 матплаты atx формата под xeon's. Я купил себе huananzhi X99 F8 и E5-2680 v4.
(следующим шагом будет покупка видеокарты у китайцев - тут за сценой должен быть слышан гомерический хохот и улюлюкание)

[avnik]

Кстати коллега, а вы standalone grub умеете "готовить"? А то мне крайне не нравится ситуация "grub на efi, модули его хрен знает где, а root path зашит куда-то ему в кишки". Хочу попробовать сделать grub.efi + grub.cfg рядом, в котором будет уже местоположение рута и конфига с ядрами итд.

[techquisitor]

В случае с современным GRUB + EFI + GPT никак. Сейчас оно работает таким образом.

[avnik]

Ну вот я "вот такое" выгуглил - https://wiki.archlinux.org/title/GRUB/Tips_and_tricks#GRUB_standalone
По идее там можно похимичить, и "сохранить" изначальные root и prefix, и потом попробовать в них конфиг поискать.

(и шутки ради - еще вот такое нашел - https://github.com/c2d7fa/jonasforth - можно что-то наколхозить. Я еще про micropython слышал, но +/- работающего не нашел пока)

PS Собственно спросил, может кто-то что то такое УЖЕ делал, и может опытом поделиться ;)