>> |
№108242
15999962551750.jpg
(103Кб, 723x1024)
Показана уменьшенная копия, оригинал по клику.
>>108240 > Ничего не понимаю. И я не понял, но при выборе в биосе устройства для загрузки нет возможности выбирать отдельные диски в корзинах. Если не указать USB или microSD, то он пробует грузиться с первого диска в корзине, второй и далее уже не катят. Я в конечном итоге забил на эти заморочки, и весь /boot поместил на microSD, уже после загрузки видны индивидуальные диски без проблем, и далее за все отвечает ZFS. > Вот как раз для неё и надо будет перевести контроллер в режим fake-RAID и подсунуть драйвер, если его не будет Это я понял, а винда в принципе без fake-RAID, софтварный рейд может использовать в качестве загрузочного устройства? Были мысли, нарезать диски на разделы, из одних в линуксе сделать свой софтварный рейд, из других в винде свой, но похоже что без fake-RAID винда умеет такое только для данных. > Иначе снаружи остаётся только загрузчик, который в случае компрометации системы переустанавливается за пару действий из chroot после загрузки с диска установщика. А в чем разница, подменять загрузчик, или иметь доступ до ядра с инитрамфс? По крайней мере на легаси буте я могу передать оси в загрузчике подправленную карту памяти, заявить ядру что машина не умеет в smp и впараллель с основной системой на другом ядре стартовать свою, ну или еще чего-нибудь навесить в загрузчике. Система на одном ядре будет конечно дико тормозить, конечно, но я не вижу принципиальных проблем, например, сдампить и куда-то отправить по сети содержимое памяти оси на другом ядре. > Загрузчики уже умеют в криптографию. Проблема не в том чтобы скажем зашифровать ядро и инитрд каким-нибудь AES, а в нерешаемом противоречии, тебе нужно вводить пароль или подтягивать ключ в незашифрованный код для дальнейших действий, и этот незашифрованный код может быть подменен на нечто, сливающие пароли/ключи Я честно говоря из секьюрных вещей копал только интеловский iasImage, но там не было шифрования, были подписи ядра+командной строки+инитрамфс, чтобы в уже загружающейся системе постфактум проверить, не подменили ли чего. Но даже там я не понял причин, почему я не могу тупо в бутлоадере вписать вместо честного вычисления SHA256 возврат одного и того же правильного хэша. Разве что вообще сделать загрузчик в ридонли памяти, но опять же, придется верить, что в него производитель не внес подобную закладку. В общем, мне кажется, в честном виде это неразрешимая проблема, а для того чтобы при краже ноутбука не смогли добраться до аккаунтов в браузере вполне достаточно и шифрования только /. > Кстати, своп тоже желательно держать зашифрованным. Интересно, есть ли примеры успешных атак такого рода. Там же мелкий фарш из 4к-блоков, и вовсе не факт что последовательных. > Если тебе не нужна "конкретно эта игра", то без игр ты не останешься. Обычно именно так и нужны, я играю нечасто и переборчиво, но запойно. Вайн действительно неплохо справляется со старьем, но вот последние три фоллаута, например, мне не поддались, хотя проверял уже достаточно давно. > Это уже зависит от гипервизора. Угу. Но пожалуй, попробую прямо на том что есть, вдруг взлетит. > Теперь понятно? Почти, то есть, линукс как видел ворох дисков, так и видит, а винда при этом будет видеть единый раздел. Но что будет, например, если я в винде сделаю пару разделов, на одном поставлю винду, оставлю другой пустым, в линуксе же не появится этой разбивки по разделам? Если я попробую их создать, чтобы потом рассовать по ним части линуксового софтрейда, я этим не грохну какие-то фейкрейдовские метаданные? Что-то это все начинает казаться все хрупче и хрупче. Ладно, вечером должен подъехать диск, без него все равно пощупать это все не получится.
|