S
Но не initrd же
Он не грузится. Это просто архив.
Это не задача загрузчика проверять целостность подсистем ядра.
Это не задача загрузчика проверять целостность подсистем ядра.
Size: a a a
2021 January 10
TK
Efi раздел создавать не нужно, если уже существует. Отдельный бут да, при нехватке места на ефи разделе
Я запутался :(
TK
Efi раздел создавать не нужно, если уже существует. Отдельный бут да, при нехватке места на ефи разделе
Блин, выразился немного неправильно. Можно же Виндовый оставить, туда положить efi для Линукса, а /boot сделать отдельный
S
Так, а Виндовый просто оставить? Так как в таком случае сдбут увидит Виндовый efi, если он на другом разделе?
Виндовый вообще не трожь. Он как был нетронутым после установки винды, таким и останется.
TK
Виндовый вообще не трожь. Он как был нетронутым после установки винды, таким и останется.
То есть efi Линукса будет в /boot?
TK
А как грузить с Виндого раздела efi?
S
Так, а Виндовый просто оставить? Так как в таком случае сдбут увидит Виндовый efi, если он на другом разделе?
sd-boot найдет все рпзделын с флагом ESP и заглянет в них в соответствии с спецификацией UEFI.
ВК
Он не грузится. Это просто архив.
Это не задача загрузчика проверять целостность подсистем ядра.
Это не задача загрузчика проверять целостность подсистем ядра.
Это архив, который содержит образ initramfs, который загружется в память перед ядром. То есть initrd - часть цепи загрузкки, а проверять ее целостность стоило бы
TK
sd-boot найдет все рпзделын с флагом ESP и заглянет в них в соответствии с спецификацией UEFI.
У меня после установки PopOS не нашёл
TK
Может надо команды какие-то прописать?
ВК
Это архив, который содержит образ initramfs, который загружется в память перед ядром. То есть initrd - часть цепи загрузкки, а проверять ее целостность стоило бы
Даже если подписать secure-boot, то все еще ни что не мешает тебе подменить initrd и встроить свой код в цепь загрузки
TK
Может надо команды какие-то прописать?
os-prober поставить, например, и его запустить
TK
Что-то такое надо делать?
ВК
Может, это и не задача sd-boot проверять такое, но sd-boot и не совсем загрузчик
S
Может надо команды какие-то прописать?
Ну руками можешь сам конфиги на каждую ОС создать с путями до EFI-приложений навроде загрузчика Windows.
TK
Ну руками можешь сам конфиги на каждую ОС создать с путями до EFI-приложений навроде загрузчика Windows.
Ясно
S
Это архив, который содержит образ initramfs, который загружется в память перед ядром. То есть initrd - часть цепи загрузкки, а проверять ее целостность стоило бы
Не совсем. В UEFI/SecureBoot нет ничего про Linux Boot protocol. initramfs никаким боком туда не втыкается. SecureBoot работает лишь с приложениями EFI и X.509.
ВК
Не совсем. В UEFI/SecureBoot нет ничего про Linux Boot protocol. initramfs никаким боком туда не втыкается. SecureBoot работает лишь с приложениями EFI и X.509.
Ну и ладно, я к тому, что в sd-boot нет никакой возможность проверять initrd, а в GRUB есть
ВК
То есть аргумент в пользу GRUB, что с ним полностью настроить Secure Boot проще
S
Ну и ладно, я к тому, что в sd-boot нет никакой возможность проверять initrd, а в GRUB есть
Граб, возможно, и имеет какие-то костыли, позволяющие проверять подписи теми же сертификатами, что и используются в SecureBoot. Но это именно костыль, который не имеет прямого отношения ни к загрузчику, ни к SecureBoot.