UEFI: использовать или нет?

Любимый Либератум, его мудрые Гуру и простые читатели! Теперь у меня материнская плата UEFI. Соответственно, поддерживается Secure Boot (загрузка только подписанных ядер).

Скажите пожалуйста, администраторы и специалисты по безопасности (а также все остальные): использовать UEFI Secure Boot или нет?

Включать ли UEFI

Буду благодарен, как за советы, так и просто за ваше мнение.

Нет, не использовать. Это же очевидно. Когда запиливали этот HUEFI, нам сообщили, что это исключительно ради нашей безопасности, мол, вредоносное ПО уходит в прошлое. Давайте смотреть на результаты: стало ли в Вантузе меньше вирусов? Нет, их стало больше. Может быть Лаборатория Касперского сидит без работы и вот-вот обанкротится? Тоже нет, с Касперским всё в порядке. Следовательно, никакого отношения к заботе о нашей безопасности UEFI не имеет.

Что же тогда? А вот что: Microsoft затруднит установку Linux на новые ПК с Windows 10. Собственно, только ради этого UEFI и создавалось.

Теперь можно перефразировать ваш вопрос — использовать или нет UEFI Secure Boot — так: использовать ли фичу, созданную исключительно для нае...бательства покупателя и недобросовестной конкуренции? Наверное, лучше не стоит. Хотя бы до тех пор, пока ее не включат принудительно, без возможности выключить. А к этому, судя по всему, всё и идет.

Огромное спасибо! Любимый Либератум не подвёл и ответил чётко, понятно и по делу. Кроме того, я бесконечно рад, что ответ совпал с моими ожиданиями (очень не хотелось использовать эту «бяку").

А к этому, судя по всему, всё и идет.

Интересно, а в каком компоненте находится эта UEFI? Думаю, если на компьютере не будет возможности отключить Secure Boot, можно будет купить деталь с отключаемой UEFI.

так и просто за ваше мнение.

А есть ли что то в этом Secure Boot что вам так необходимо? Что без него — ну никак? Тогда, наверное, посмотреть стоит (но для начала не на основной машине). Или если руки чешуться — развлечься. Иначе — зачем?

UEFI-для меня -дело десятое ,а вот разметка GPT — очень удобная для Debian штука :)

В мудрой книге для администраторов написано, что

Нет ни одной разумной причины использовать GPT на жёстких дисках, которые этого не требуют, то есть меньше 2ТБ по объёму"

А для вас там в чём удобство?

Сравнил реакцию системы ,скорости чтения-записи с харда и был приятно удивлен :на GPT ,быстрее до 1.5 раз ,кроме того,не нужно создавать расширенных разделов под /usr /var/ ,особенно если держу обычно 2 дистра Linux на ноуте..

Не фантазируйте. GPT — просто иной способ описать структуру разделов на диске. Эта информация читается загрузчиком и никак на скорость чтения и записи не влияет.

comrade аватар

Может товарищ и не фантазирует.

Либо сравнивал старый жёсткий диск (с MBR) и новый (с GPT). И новый жёсткий диск (почему-то;-) оказался в 1,5 раза быстрее.

Либо переразбил, переформатировал один и тот же диск с MBR на GPT. ...Но, заодно, выровнял при этом разделы, получив приличный прирост скорости после выравнивания.

(Понятно, что GPT в обоих вариантах ни при чём;-)

Либо сравнивал старый жёсткий диск (с MBR) и новый (с GPT).

Я хоть его фантазером обозвал, а Вы, по сути, дебилом. :)

В любом случае, без результатов тестирования и условий проведения тестов обсуждать успехи товарища бессмысленно.

У меня довольно медленный хард :5400 оборотов и не очень
старый HGST HTS545050A7E380

Ну так а какой программой скорость мерили? Синтетический тест, реальные задачи или на глаз?

Просто копирование файлов с одного раздела на другой: в случае с MBR -20-25 мегабайт/сек ,с GPT-30-35 соответственно..

Какие-бы железные аргументы у Одминов небыли ,теперь мне MBR столь же не нужна на десктопе ,как и им GPT :))

Да на здоровье! Не вижу смысла в этом самообмане, но если хочется верить в чудеса, то почему бы нет?! Ждите GPT 2, тогда ваш диск вообще SSD по скорости превзойдет. ;)

Кстати на картинке нужно было UEFI+Windows 10, а не Windows 8
В UEFI на Windows 8 пока есть возможность отключить Secure Boot

Вообще-то использовать. И UEFI, и Secure Boot.

Я вот тоже использую UEFI, и в целом очень доволен. Пробовал как с Secure Boot так и без — учитывая что словить буткит при использовании линукса проблематично — secure boot куда проще отрубить, чем мучаться с настройкой Grub'а и SHIM'а под него.

Основной плюс для меня, это сравнительная простота в управлении загрузчиком, особенно если он кастомный а не дистрибутивный. Очень радует что больше нет никаких мучений с прописыванием MBR, сравнительно просто всё можно починить, когда венда или ещё кто-то его ломает (просто заранее забекапить файлы GRUB'а и его конфигурацию, а потом восстановить). И самый большой бонус — это дублирование структуры GPT в конце диска. Случайное повреждение структуры разделов теперь лечится куда проще и быстрее. Ну и возможность рулить последовательностью загрузки EFI — через efibootmgr прямо из работающего линукса, но это уже скорее как небольшой бонус.

К тому-же ведро линукса давно уже умеет грузиться в "режиме EFI", что недоступно при старом методе загрузки через MBR. На настольном компе, у меня дистрибутив в таком режиме почему-то грузится быстрее на несколько секунд. Скорость не замерял. А на ноуте — гибернация работает только когда я гружусь в режиме EFI.

А по поводу Secure Boot — идея сама по себе здравая. Реализация как обычно плохая, потому-что делает её майкрософт, и я даже не удивлюсь если он доплачивает производителем за то чтобы Secure Boot был не отключаемым.

Мой знакомый, например, использовал Secure Boot в продакшене — а именно платёжные\мультимедия терминалы с линуксом (платежи за телефон, печать фоточек с фелешек и карт памяти и подобная херня). В UEFI — устанавливались свои фирменные ключи от производителя, при этом — удалялись все остальные. Shim, Grub, и ядро с модулями подписывались фирменным ключом — и была какая-никакая гарантия, что на терминале не загрузят чего-то не того. Так что Secure Boot — вещь определённо хорошая и нужная. Управление его реализацией со стороны MS — вот что плохо.

Комментировать

Filtered HTML

  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.