И GPT тоже

или 4

или 6

Так вот я и прошу реальный кейс

А не воображаемый

ну реальный кейс - хранилка, но у меня привыска грузить ос с отдельного небольшого носителя, что уже за рамками кейса

Вооот. Как нет RAID5 на дисках 4T, так и загрузки с .

А загрузка с небольшого зеркальца.

Ключевое слова небольшого.

И GPT там тоже лишний.

Время GPT придет, когда перестанут делать загрузочные носители меньше честных 2T

Если к тому времени не поймут, что оно переусложнено и не упростят.

пока люди цепляются за легаси с 4 разделами и 32 бит таблицами - время никогда не придет

За простые решения.

я молчу про невозможность проверить доверенность загрузки подписями

То есть GELI нет в природе

Я помню ебался с gpt на hetzner, проклял все

Я помню ебался с gpt на hetzner, проклял все

На виртуалке или физсервере?

А причему тут шифрование всего диска и возможность на этапе загрузки проверить целостность того же загрузчика

На сервере конечно

А причему тут шифрование всего диска и возможность на этапе загрузки проверить целостность того же загрузчика

А они связаны

интересно как

Потом решил что все к черту и взял ssd + 2x3Tb

Потом решил что все к черту и взял ssd + 2x3Tb

ссд всегда хорошо

АБС

Олютли

А причему тут шифрование всего диска и возможность на этапе загрузки проверить целостность того же загрузчика

Я вообще этому UEFI не доверяю проверки, ибо схренали?

Я вообще этому UEFI не доверяю проверки, ибо схренали?

Залить свои платформ ключи и доверять только своим сертификатам?

Сплошное шифрование

понятно что решето местами, но будто биос с костылями из 80х прям лучше

где вообще не было понятий безопасной загрузки

И все равно всё это игрушки, не поможет

А можно подумать с UEFI есть

Там столько колец абстракции щас

ну там от вендора большинство, тот же ME дырявый

И все не доверенные главным - мной.

Вот-аот.

ну даешь опенхардвар

Так что ничо не спасет

чо там с опенспарками? закопали?

Не в курс5

GEOM_RAID с форматом Promise позволяет на двух физических дисках создать один массив с тремя томами /dev/raid/r0 - /dev/raid/r2 из которых первый том имеет тип зеркало RAID1 в начале дисков, а остальные томы типа SINGLE из остатков места на дисках и их можно отдать ZFS.

А на первом томе создать MBR из одного слайса размером с этот том. И пусть хоть 6T диски.

или 6

Сойдет тебе так?

На /dev/raid/r0s1b можно держать своп вне ZFS

где вообще не было понятий безопасной загрузки

у нашего продукта - была! *при условии физической защиты железа

mips - устаревшая архитектура

21.11 19:53 Vasiliy Terkin: устаревшая, блять, архитектура 21.11 19:53 Vasiliy Terkin: плесенью, сука, покрылась

у нашего продукта - была! *при условии физической защиты железа

При физической защите железа любой дурак сможет!

Поди еще и в предположении отсутствия закладок от производителя этого железа в железе и микрокодах.

ну для получения сертификата ФСБ/ФСТЭК/Минобороны на самом деле этого не требуется

а на объектах, где такие машины работают, опломбировать корпус никто не запретит

Чего этого?

предположения об отсутствии

А чего тогда дает сертификат?

При физической защите железа любой дурак сможет!

увы, как показывает обзор рынка средств доверенной загрузкии в России... совсем не любой :)

Красивую бамажку?

ты не с того конца к вопросу заходишь

Я с конца реальной защищенности

А не с концамсертификата о таковой.

пффф... реальную защищенность тебе даст только БЭСМ-6

ты не ту отрасль выбрал, если хочешь панацею

А так - прикрутил доступную только для чтения полку с начальным загрузчиком, проверяющим контрольные суммы и всё

Типа WORM-носителя.

write only/read many

Физического. Типа CD-болванки однократной записи.

наш продукт такой и есть

ERROR: S client not available

просто вшивается в биос, а потом ставим джампер защиты от записи

Ну я и говорю, ничо таково.

ничо такова, но почему-то ни у кого больше нету :)

Там больше оформляжа.

Сертификации.

А нету потому что профанация, ценная сертификатом, который нужен мало кому.

И никому - добровольно :)

я тебе открою секрет: при физическом доступе к железу - и остальные сертифицированные средства, кои уже аппаратно-программные, т.е. отдельные платы - тоже профанация

а если нет разницы, зачем платить больше ? (с)

угу

...разница, на самом деле, есть - наш МДЗ хотя бы умеет стопицот fs и операционок, а какой-нибудь "Аккорд" или "Соболь" - ужас в стиле дискетки с досом

И никому - добровольно :)

ну почему же! наш продукт я бы себе даже на домашнюю машину поставил! :)

А закладки производителя железа?

В микрокоде CPU, периферийных контроллерах

В firmware сетевого адаптера с поддержкой виртуализации

В ring -1, -2, -3

ты не ту отрасль выбрал, если хочешь панацею

я уже сказал

ты правда думаешь, что один продукт должен быть средством от всего?

нет

я тебе открою секрет: при физическом доступе к железу - и остальные сертифицированные средства, кои уже аппаратно-программные, т.е. отдельные платы - тоже профанация

да, я поясню за физ. доступ кстати - тебе даже необязательно вынимать из машины аппаратную плату такого "доверенного загрузчика" - тебе достаточно вставить хитрую свою

а почем бы ты купил ваш продукт домой себе?

да, я поясню за физ. доступ кстати - тебе даже необязательно вынимать из машины аппаратную плату такого "доверенного загрузчика" - тебе достаточно вставить хитрую свою

Да там полно вариантов.

мм... я предпочитаю не видеть продажников :) в том году оно 5 тыр стоило, штоле

Посильно, и чтот ж не купил?

да, это дешевле всех аналогов, пушо чисто программное :)

Посильно, и чтот ж не купил?

та кому мой Первопень(tm) нужен?.. =) лень возиться

Вот! Даже тебе оно реально не надо: )

мне бы первопень пригодился

да нет, просто я ленивый, и ребутаюсь редко :)

мне бы первопень пригодился

Зачем? Он тормоз и жруч

прост поиграться

Есть хорошие и совместимые альтернативы