UEFI: использовать или нет?
Опубликовано 27 апреля, 2015 - 17:59 пользователем Qantorium
Любимый Либератум, его мудрые Гуру и простые читатели! Теперь у меня материнская плата UEFI. Соответственно, поддерживается Secure Boot (загрузка только подписанных ядер).
Скажите пожалуйста, администраторы и специалисты по безопасности (а также все остальные): использовать UEFI Secure Boot или нет?
Буду благодарен, как за советы, так и просто за ваше мнение.
field_vote:
pomodor
28 апреля, 2015 - 00:35
Нет, не использовать. Это же очевидно. Когда запиливали этот HUEFI, нам сообщили, что это исключительно ради нашей безопасности, мол, вредоносное ПО уходит в прошлое. Давайте смотреть на результаты: стало ли в Вантузе меньше вирусов? Нет, их стало больше. Может быть Лаборатория Касперского сидит без работы и вот-вот обанкротится? Тоже нет, с Касперским всё в порядке. Следовательно, никакого отношения к заботе о нашей безопасности UEFI не имеет.
Что же тогда? А вот что: Microsoft затруднит установку Linux на новые ПК с Windows 10. Собственно, только ради этого UEFI и создавалось.
Теперь можно перефразировать ваш вопрос — использовать или нет UEFI Secure Boot — так: использовать ли фичу, созданную исключительно для нае...бательства покупателя и недобросовестной конкуренции? Наверное, лучше не стоит. Хотя бы до тех пор, пока ее не включат принудительно, без возможности выключить. А к этому, судя по всему, всё и идет.
Qantorium
28 апреля, 2015 - 13:32
Огромное спасибо! Любимый Либератум не подвёл и ответил чётко, понятно и по делу. Кроме того, я бесконечно рад, что ответ совпал с моими ожиданиями (очень не хотелось использовать эту «бяку").
dk
28 апреля, 2015 - 14:06
А есть ли что то в этом Secure Boot что вам так необходимо? Что без него — ну никак? Тогда, наверное, посмотреть стоит (но для начала не на основной машине). Или если руки чешуться — развлечься. Иначе — зачем?
Чингачгук
28 апреля, 2015 - 19:52
UEFI-для меня -дело десятое ,а вот разметка GPT — очень удобная для Debian штука :)
Qantorium
29 апреля, 2015 - 08:14
В мудрой книге для администраторов написано, что
А для вас там в чём удобство?
Чингачгук
29 апреля, 2015 - 23:12
Кстати на картинке нужно было UEFI+Windows 10, а не Windows 8
В UEFI на Windows 8 пока есть возможность отключить Secure Boot
Чингачгук
30 апреля, 2015 - 00:25
Сравнил реакцию системы ,скорости чтения-записи с харда и был приятно удивлен :на GPT ,быстрее до 1.5 раз ,кроме того,не нужно создавать расширенных разделов под /usr /var/ ,особенно если держу обычно 2 дистра Linux на ноуте..
pomodor
30 апреля, 2015 - 14:19
Не фантазируйте. GPT — просто иной способ описать структуру разделов на диске. Эта информация читается загрузчиком и никак на скорость чтения и записи не влияет.
comrade
30 апреля, 2015 - 15:09
Может товарищ и не фантазирует.
Либо сравнивал старый жёсткий диск (с MBR) и новый (с GPT). И новый жёсткий диск (почему-то;-) оказался в 1,5 раза быстрее.
Либо переразбил, переформатировал один и тот же диск с MBR на GPT. ...Но, заодно, выровнял при этом разделы, получив приличный прирост скорости после выравнивания.
(Понятно, что GPT в обоих вариантах ни при чём;-)
pomodor
30 апреля, 2015 - 15:13
Я хоть его фантазером обозвал, а Вы, по сути, дебилом. :)
В любом случае, без результатов тестирования и условий проведения тестов обсуждать успехи товарища бессмысленно.
Чингачгук
30 апреля, 2015 - 19:00
У меня довольно медленный хард :5400 оборотов и не очень
старый HGST HTS545050A7E380
pomodor
30 апреля, 2015 - 19:55
Ну так а какой программой скорость мерили? Синтетический тест, реальные задачи или на глаз?
Чингачгук
30 апреля, 2015 - 20:02
Просто копирование файлов с одного раздела на другой: в случае с MBR -20-25 мегабайт/сек ,с GPT-30-35 соответственно..
Чингачгук
30 апреля, 2015 - 20:22
Какие-бы железные аргументы у Одминов небыли ,теперь мне MBR столь же не нужна на десктопе ,как и им GPT :))
pomodor
30 апреля, 2015 - 20:45
Да на здоровье! Не вижу смысла в этом самообмане, но если хочется верить в чудеса, то почему бы нет?! Ждите GPT 2, тогда ваш диск вообще SSD по скорости превзойдет. ;)
Чингачгук
16 июля, 2015 - 20:36
Интересно, а в каком компоненте находится эта UEFI? Думаю, если на компьютере не будет возможности отключить Secure Boot, можно будет купить деталь с отключаемой UEFI.
Чингачгук
8 августа, 2015 - 18:57
Вообще-то использовать. И UEFI, и Secure Boot.
Чингачгук
18 августа, 2015 - 21:30
Я вот тоже использую UEFI, и в целом очень доволен. Пробовал как с Secure Boot так и без — учитывая что словить буткит при использовании линукса проблематично — secure boot куда проще отрубить, чем мучаться с настройкой Grub'а и SHIM'а под него.
Основной плюс для меня, это сравнительная простота в управлении загрузчиком, особенно если он кастомный а не дистрибутивный. Очень радует что больше нет никаких мучений с прописыванием MBR, сравнительно просто всё можно починить, когда венда или ещё кто-то его ломает (просто заранее забекапить файлы GRUB'а и его конфигурацию, а потом восстановить). И самый большой бонус — это дублирование структуры GPT в конце диска. Случайное повреждение структуры разделов теперь лечится куда проще и быстрее. Ну и возможность рулить последовательностью загрузки EFI — через efibootmgr прямо из работающего линукса, но это уже скорее как небольшой бонус.
К тому-же ведро линукса давно уже умеет грузиться в "режиме EFI", что недоступно при старом методе загрузки через MBR. На настольном компе, у меня дистрибутив в таком режиме почему-то грузится быстрее на несколько секунд. Скорость не замерял. А на ноуте — гибернация работает только когда я гружусь в режиме EFI.
А по поводу Secure Boot — идея сама по себе здравая. Реализация как обычно плохая, потому-что делает её майкрософт, и я даже не удивлюсь если он доплачивает производителем за то чтобы Secure Boot был не отключаемым.
Мой знакомый, например, использовал Secure Boot в продакшене — а именно платёжные\мультимедия терминалы с линуксом (платежи за телефон, печать фоточек с фелешек и карт памяти и подобная херня). В UEFI — устанавливались свои фирменные ключи от производителя, при этом — удалялись все остальные. Shim, Grub, и ядро с модулями подписывались фирменным ключом — и была какая-никакая гарантия, что на терминале не загрузят чего-то не того. Так что Secure Boot — вещь определённо хорошая и нужная. Управление его реализацией со стороны MS — вот что плохо.
Комментировать