secure boot

[The Hit-Man]

Ich mußte mir einen Treiber per dkms selber bauen:
https://packages.debian.org/de/broadcom-sta-dkms
Allerdings kann dieser nur geladen werden wenn ich im BIOS das secure boot ausschalte. Der Treiber scheint wohl nicht signiert oder nicht richtig signiert zu sein. Der Treiber an sich, funktioniert auch. War für WLAN zuständig. Keine Ahnung, was sich lenovo dabei gedacht hatte denn eigentlich rennt von lenovo meist alles out-of-box.
Meine Frage ist, ist es OK, das secure boot auszuschalten?

[KP97]

Natürlich, das ist eh überflüssig.

[cosinus]

Meine Frage ist, ist es OK, das secure boot auszuschalten?

Klar. Auch unter Windows ist das nicht wirklich ein Sicherheitsgewinn.

[niemand]

Meine Frage ist, ist es OK, das secure boot auszuschalten?

Kommt drauf an – richtig eingesetzt (eigene Zertifikate hinterlegt und ein Unified Kernel Image (mit den Modulen) signiert) kann’s durchaus ein Sicherheitsgewinn sein. Wenn du allerdings so fragst, ist anzunehmen, dass du da selbst nichts weiter eingerichtet hast – in dem Fall hält sich der Sicherheitsverlust in Grenzen, wenn du’s abschaltest.

[The Hit-Man]

Und ich dachte, das wäre jetzt mega wichtig ... Wenn das mein eigener Rechner gewesen wäre, dann hätte ich das Bios eh auf legacy gesetzt. Ich sehe in diesem UEFI, irgendwie eh keinen großen Sinn drin. Das war doch eh nur wieder ein Dingen von M$.

[MSfree]

Wenn das mein eigener Rechner gewesen wäre, dann hätte ich das Bios eh auf legacy gesetzt.

Das geht bei aktuellen Rechnern sowieso meistens nicht mehr. Mein NUC11 z.B. kennt keinen legacy Mode mehr.

Ich sehe in diesem UEFI, irgendwie eh keinen großen Sinn drin.

Wenn du SSDs booten willst, die größer als 2TB sind, brauchst du eine Partitionstabelle nach GPT-Schema und die kann im legacy Mode nicht gebootet werden.

Das war doch eh nur wieder ein Dingen von M$.

Blödsinn. Intel hat das für die Itanium Architektur verbrochen, und die kam 2001 auf den Markt.

[The Hit-Man]

Wenn du SSDs booten willst, die größer als 2TB sind, brauchst du eine Partitionstabelle nach GPT-Schema und die kann im legacy Mode nicht gebootet werden.

Also nur wenn ich davon booten will? Weil habe an meiner Fritte eine 4 TB Platte per USB dran und die funtzt ohne Probleme.

[rhHeini]

Wenn du SSDs booten willst, die größer als 2TB sind, brauchst du eine Partitionstabelle nach GPT-Schema und die kann im legacy Mode nicht gebootet werden.

Widerspruch: ich würd das nicht so absolut sehen. Man kann auf mittelalten Rechnern (ich hab hier AMD 3 und AMD 3+-Rechner ohne UEFI oder mit ganz frühem grottigem UEFI bei denen das funzt) jedes beliebige Laufwerk mit GPT Partitionsschema auch im Legacy-Modus booten wenn man da vorne eine kleine bios_grub-Partition spendiert. Die wird für den grub anstelle des MBR benötigt.

Ich hab bei allen meinen Installationen SB ausgeschaltet. Dadrunter ist auch ein Laptop der kein Legacy/CSM mehr zulässt.

[cosinus]

Widerspruch: ich würd das nicht so absolut sehen. Man kann auf mittelalten Rechnern (ich hab hier AMD 3 und AMD 3+-Rechner bei denen das funzt) jedes beliebige Laufwerk mit GPT Partitionsschema auch im Legacy-Modus booten wenn man da vorne eine kleine bios_grub-Partition spendiert. Die wird für den grub anstelle des MBR benötigt.

Jap das stimmt, hab das nach der letzten Diskussion hier auch mal probiert. War ein alter PC (IIRC ein Q9550), definitiv kein EFI.
Ich fands nur sehr erstaunlich, dass das Debian-Setup nichts in die BIOSBOOT-Partition geschrieben hat und das System trotzdem von GPT booten konnte. Habe das mit xxd nachgeprüft. Da kamen nur Nullen. Erst als ich im installierten Debian nochmal ein grub-install eintippte, wurden da Daten reingeschrieben.

[rhHeini]

Es könnte sein das da auch das Release eine Rolle spielt, und wie der Installer konfiguriert ist. Der Installer funzt im Zweifelsfall einfach nicht. Bei einen Update der grub-Pakete oder eine Neuinstallation kommt da neuerdings ein Hinweis auf eine möglicherweise fehlende bios_grub. Ich verwende jetzt eine ganze Weile nur noch GPT weil ich dieses lineare ohne diesen Krampf über die Extended Partition vorziehe. Bin mir da aber nicht sicher ob ich da nur Datengräber umpartitioniert habe oder auch Bootlaufwerke. Ich meine nämlich das diese Meldungen über das bios_grub erst seit dem grub 2.06 kommen. Kann mich da aber auch irren.

[cosinus]

Jo, seit Jahren nehm ich auch nur noch GPT. Keine Einschränkungen und bei Datendisks ist das auch kein Problem wenn man diese an alten Rechnern klemmt. Solange das OS nicht aus der Steinzeit ist

[niemand]

Und ich dachte, das wäre jetzt mega wichtig ... Wenn das mein eigener Rechner gewesen wäre, dann hätte ich das Bios eh auf legacy gesetzt. Ich sehe in diesem UEFI, irgendwie eh keinen großen Sinn drin. Das war doch eh nur wieder ein Dingen von M$.

Eigentlich wurde UEFI notwendig, weil BIOS an seine Grenzen gekommen ist – dass viele Hersteller dann erstmal die Firmwares und insbesondere die UIs verkackt haben, ist ’ne andere Geschichte. Gibt aber auch Firmware-UIs, die man vom Aussehen und von der Bedienung her nicht von ’nem antiken BIOS-Setup unterscheiden kann.
Es gibt schon ’n paar schöne Sachen, die mit UEFI und der Firmware dazu machbar sind, und es gibt auch ein paar schöne Sachen, für die man Secure Boot gebrauchen kann – wenn man etwa den TPM2-Kram nutzen will, etwa zum Absichern des Zugangs oder zum Verschlüsseln der Datenträger. Oder wenn man halt sicherstellen will, dass keiner einem an den Boot-Files rumgepfuscht hat – tatsächlich ist das ja heutzutage einer der letzten Ansatzpunkte für Manipulation an abgeschalteten Maschinen (und ja: in diesem unserem Land ist es legitim, dass jemand in einen Wohnraum einbricht und versucht, Schadsoftware auf die vorgefundenen Maschinen zu bringen – er muss nur den richtigen Arbeitgeber haben).

Aber wie gesagt: wer’s nicht braucht, der wählt halt den Weg des für ihn geringsten Aufwands, und gut – damit ist nichts verkehrt.

[Draal]

Wenn du SSDs booten willst, die größer als 2TB sind, brauchst du eine Partitionstabelle nach GPT-Schema und die kann im legacy Mode nicht gebootet werden.

Hmm, da hätte ich eine Zwischenfrage: Ich betreibe ein NAS auf Hardware, die gute 20 Jahre alt ist, bis auf die HDDs. UEFI war zu der Zeit eher Zukunftsvision. Es beherbergt 3 x 4TB HDDs und ich muss also GPT-Schema fahren. Das funktioniert aber schon lange. Grub meckert zwar öfter, aber eigentlich ist das System sehr zuverlässig.

[cosinus]

Es beherbergt 3 x 4TB HDDs und ich muss also GPT-Schema fahren. Das funktioniert aber schon lange. Grub meckert zwar öfter, aber eigentlich ist das System sehr zuverlässig.

Das funktioniert auch wenn das System kein EFI hat. Die BIOSBOOT-Partition muss lediglich innerhalb der ersten 2 TiB sein.

[Draal]

[Livingston]

Etwas technischer Hintergrund:
Mit altem BIOS-Boot und MBR hat man Partitionstabellen, die maximal 32 Bit für die Adressierung eines Festplatten-Sektors bereitstellten. Das ergibt einen Zahlenraum von 0 bis 4Gi (=4294967296). BIOS geht dabei von einer Sektorgröße von 512B aus, also 4Gi*512B=2TiB.
Ersetzt man unter BIOS den Bootloader im MBR gegen einen, der GPT kennt, fallen diese Einschränkungen weg. GPT baut auf 64Bit-Adressen auf und erlaubt daher 18Pi Sektoren. Sollte erst mal für die nächsten paar Jahre reichen.

[cosinus]

GPT baut auf 64Bit-Adressen auf und erlaubt daher 18Pi Sektoren.

Wie viele Sektoren?

[Livingston]

18446744073709551616

[cosinus]

Achso, du meinst 2 hoch 64. Aber was genau bedeutet das "Pi" in deinem Text? Normalerweise hat Pi den Wert 3.14159265…

[Livingston]

Pi = Pebi =2^64 im Gegensatz zu P = Peta = 10^15

[cosinus]

Steht Pebi nicht für 2^50?
2^64 Sektoren wären 2^73 Bytes, also unglaubliche 8 Zebibytes (8192 Exbibytes) …

[MSfree]

Pi = Pebi =2^64 im Gegensatz zu P = Peta = 10^15

Knapp daneben.
Pebi ist 2^50 = 1.12e15

1e18 ist Exa und das binäre Pendant ist 2^60 = 1 Exbi

[Livingston]

Äh... ja

Ich war grad noch in Gedanken bei der 64-Bit-Grenze in der GPT.

[cosinus]

Ich war grad noch in Gedanken bei der 64-Bit-Grenze in der GPT.

Das ist ja auch richtig, dass man mit GPT 2 hoch 64 Sektoren adressieren kann

BTW: hat eigentlich schonmal jemand Laufwerke gesehen, die nativ andere Sektorengrößen haben? Also die 4k-Sektoren wurden ja 2010 bei HDDs eingeführt und diese dann als Advanced Format bezeichnet. Aber die Plattenfirmware meldete dem Controller 512-Byte-Sektoren. Mit SSDs sind wir wieder nativ bei 512 Byte?