U
На арч вики говорят, что все должно быть на 1 разделе
Size: a a a
2021 January 10
TK
На арч вики говорят, что все должно быть на 1 разделе
Он бинари с других разделов не читает. Я тоже щас на арчвики ищу
ВК
Да, разумеется. Она проверяет подписи любого запускаемого приложения.
А я голову сломал, как защитить initrd, не сливая его в один efi с ядром)
TK
Про ефи файлы пока что ничего не нашёл
D[
Почему? Открой для себя Boot Loader Specification от Freedesktop.
Спасибо, я сейчас понял что мне и Груба хватает.
D[
Да и с rEFInd тоже живется норм.
TK
Ща почитаем
TK
DARIY [markw • mb4 • rad] [pacman -Syu]
Да и с rEFInd тоже живется норм.
Refind красивый
S
А я голову сломал, как защитить initrd, не сливая его в один efi с ядром)
Постой, initrd не запускается. Это не EFI-приложение. Нет смысла его подписывать.
Его содержимое можно проверять, но это уже задача системы безопасности ОС.
Его содержимое можно проверять, но это уже задача системы безопасности ОС.
D[
Refind красивый
И ширококо кастомизируемый.
S
Про ефи файлы пока что ничего не нашёл
Это обычные PE-приложения Windows. )
TK
Ага, я правильно понимаю, что нужно сделать отдельные разделы под /boot для ядер и /boot/efi для всех efi файлов, в том числе и виндовых?
ВК
Постой, initrd не запускается. Это не EFI-приложение. Нет смысла его подписывать.
Его содержимое можно проверять, но это уже задача системы безопасности ОС.
Его содержимое можно проверять, но это уже задача системы безопасности ОС.
И как это реализовать, используя systemd-boot? Нет готовых решений для такого, а вот в grub есть
S
Ага, я правильно понимаю, что нужно сделать отдельные разделы под /boot для ядер и /boot/efi для всех efi файлов, в том числе и виндовых?
Нет. Достаточно иметь один FAT-раздел с флагом ESP, который монтируется как /boot.
S
И как это реализовать, используя systemd-boot? Нет готовых решений для такого, а вот в grub есть
Ядро же умеет проверять подписи приложений и модулей...
ВК
Но не initrd же
ВК
Он раньше ядра грузится
U
Ага, я правильно понимаю, что нужно сделать отдельные разделы под /boot для ядер и /boot/efi для всех efi файлов, в том числе и виндовых?
Efi раздел создавать не нужно, если уже существует. Отдельный бут да, при нехватке места на ефи разделе
TK
Нет. Достаточно иметь один FAT-раздел с флагом ESP, который монтируется как /boot.
Так, а Виндовый просто оставить? Так как в таком случае сдбут увидит Виндовый efi, если он на другом разделе?