Názory k článku
Po aktualizaci Windows přestal fungovat dual-boot Linuxu

Takže když mám vypnutý SecureBoot, tak se mě to netýká?

netýká

Ne.
Vyděsilo mě to trochu, ale bez secure boot žádné problémy nenastaly.

No a taky mi, co nemame dual boot, nebot windows jsou provozovat v KVM, coz je lepsi zpusob ;-)

To neni zdaleka poprvy kdy soudruzi rozbili start se securebootem, pokud si pamatuju tak loni prestaly bootovat widle ve vmware ... taky po widloaktualizaci. Povypinal sem to vsude preventivne.

Samozřejmě nefunguji ani neaktualizované instalační ISA linux. distribucí.

Zadna novinka, tohle windows delaly uz za dob XP. Jestli je to zamer nebo ne, o tom muzem polemizovat. Ja to tenkrat vyresil bezpecnym uklizenim windows do virtualky. Za mesic jsem zjistil, ze jsem ani jednou za mesic nemel potrebu ji spustit.

WinXP snad podporovali UEFI&SecureBoot?
Tam slo o neco jineho, MBR umoznovalo obsahovat jen 1 bootloader a kdyz WinXP nahodily aktualizaci sveho, tak logicky zmizel Grub... (To ze mohli detekovat pritomnost Grubu a neinstalovat pres nej svuj je jina vec)

Naopak s UEFI muze byt na EFI oddilu bootloaderu kolik chces, zde ale jde vylozene o umyslne zablokovani Grubu

No ale Windows dělaly/dělají to, že v EFI v rámci bootovacího pořadí vždy proaktivně posunou samy sebe na první místo, tj. před GRUB.

V decentnych BIOS-och sa to da v nastaveni zatrhnut (zvycajne nieco ako Lock boot order).

V nabootovaneho linuxu sa to da menit pomocou efibootmgr (pokial teda BootOrder nie je zamknuty v nastaveni BIOSu, spomenute vyssie).

To vypada, ze multiboot nikde nemas ... widle prepisuji/odstra­nuji libovolny bootloader i z efi, a to odjakziva a opakovane. Na duvodu vubec nesejde. Tohle je spis extremni vyjimka tim, ze se k tomu MS vubec nejak vyjadruje.

Sluvko SecureBoot by fakt melo byt soucasti nadpisu zpravicky.

By default je ale zapnutý na každém PC.

Jako sorry ale tohle secure boot je zapnutý na 99%, takže vážně tohle nemusí nikdo zmiňovat.

Chápu to dobře, že Microsoft dodal patch do grubu, který tohle způsobuje? Nebo nějaká aktualizace windows klasicky prepíše boot order a grub "zmizí", nebo jinak úplně nechápu, jak se to vlastně může stát?

Nie, Microsoft updatol SBAT (efi ficura, vid https://mjg59.dreamwidth.org/70348.html).

Pruser sa sklada z dvoch casti:

- Micorosft mal updatnut SBAT iba na pocitacoch, ktore nemaju dual boot; to vyfailovali a updatli to vsade

- Linuxove distribucie mali updatnut grub, na verziu, ktorej sa tento problem netyka; niektore distibucie to vyfailovali tiez (ale napriklad fedora nie. Tam nebol najmensi problem).

- Linuxove distribucie mali updatnut grub, na verziu, ktorej sa tento problem netyka; niektore distibucie to vyfailovali tiez (ale napriklad fedora nie. Tam nebol najmensi problem).

Já nevím, jestli chápeš rozsah problému a kdo co "vyfailoval". Ano, měli updatovat grub a releasovat znova všechna instalační média, a každý, kdo má nějaké vlastní recovery médium, tak si ho měl updatovat, a kdo má recovery médium s Windows, tak si ho má taky updatovat, protože to taky přestane fungovat.

Secure Boot je koncepčně naprostá katastrofa a lidi přesně před tímhle scénářem varovali, když se to začalo prosazovat. No, tak tady to máme.

Ale ano, uvedomujem. Co presne navrhujete urobit, ked na tych instalacnych a recovery mediach je bootloader s CVE? Nechat brany dosiroka otvorene?

Aby to bolo este zaujimavejsie, co sa stane, ked bootloader sice je podpisany, ale nie notarizovany, a platnost podpisu uplynie?

To nie je hypoteticka otazka. Presne to sa stalo pred nejakym casom Apple.

Secure Boot je koncepcne preto katastrofa, lebo treba updatovat firmware a bootovacie media? Aky iny system zabezpecenia navrhujete? Ako ma Android, kde iba vyrobca zariadenia ma kluce od zariadenia a zvysok sveta si moze trhnut?

Ako ma Android, kde iba vyrobca zariadenia ma kluce od zariadenia a zvysok sveta si moze trhnut?

No, jak tu báječnou "analogii" jen okomentovat... Asi slovy klasika:

Níže podepsaní lékaři bazírují na vrozeném kreténismu Josefa Švejka vyjadřujícího se slovy: Ať žije císař František Josef I., kterýžto výrok úplně stačí, aby osvětlil duševní stav vyšetřovaného jako notorického blba.

Mě teda, když jsem dělal dualboot tak už před 5 lety toto dělalo zcela běžně po katulizaci zabezpečení... Objevovalo se to už od dob XP a ano je to záměr to BFU naštvat...

Windows umí i lepší věci. Třeba máš ve stroji víc disků, instaluješ Windows (konkrétně Win10) a přemaže to boot code na jiném disku, než se instaluje.

Nevím koho tam někde napadlo v MS, že jeden disk potřebuješ k načtení zavaděče a druhý k načtení OS.

A nejlepší je, že máš 4 disky a ono se to přemaže na tom jediném, kde máš zavaděč od jiného OS. Záměr? Chybka?

26. 8. 2024, 10:11 editováno autorem komentáře

Záměr. Na mém Dell workstation BIOS neumí vybrat disk k bootování (jen po skupinách: CD, disky, USB, LAN, ...). Windows proto zapíše zavaděč vždy na první disk, i když ho instaluju třeba na třetí.

Windows nacpe EFI oddíl na "první" disk, i když už je jinde. To je opravdu úžasné a strašně praktické. Např. takový use case - SSD místo optické mechaniky v notebooky. Jako bonus ho už léta dělají moc malý, takže už si stihli rozbít i vlastní aktualizace, kde je potřeba něco do toho EFI zapisovat (zrovná pár měsíců zpátky). Lemplárna.

Tohle je divný. Mám na notebooku už skoro půl roku cvičně nainstalovaný samostatný Proxmox (Debian 12) a Windows tam nejsou vůbec. A dneska jsem se s tou hláškou setkal taky.

Docela mě to vyplašilo, jelikož je to notebook bez baterky (ta dávno chcípla, proto ho mám na tohle hraní; a SBAT jsem si nějak spojil právě s baterkou ;)) a před dneškem byl ten notebook skoro 3 týdny vypnutý. Navíc ta hláška se zobrazí jen na chviličku hezky vycentrovaně a v nativním rozlišení displeje (připomíná to styl, jako když se upgraduje UEFI) a notebook se během pár sekund vypne, člověk to ani nestihne přečíst (musel jsem si to vyfotit). Tak jsem nejdřív myslel, že má zase firmware notebooku nějaké myšky kvůli baterce, no, nakonec jsem vygooglil, co s tím a opravil to (jo, je to postup z článku).

Takže jestli v tom má prsty Microsoft, tak je to záškodnická činnost proti Linuxu ;).

23. 8. 2024, 19:43 editováno autorem komentáře

Mě nevyšlo zatím instalovat Linuxe vůbec, při přechodu na klonovaný SSD, kde jsem kopíroval ze starého disku partition ručně, sem mu nechal nějak málo místa právě pro EFI a Grub se tam nevejde. Stejně je nejdříve snažší instalovat Windows, aktualizovat a poté Linux, nejlépe tedy ISO s opravavou. Počkám až se Windows zhroutí, nebo je dostane virus a celé znova lépe přeinstaluji.