چجوری توی حالت verbose بوت کنم؟؟
loglevel=7 رو به خط فرمان کرنل اضافه و سیستم رو بوت کنید. در این حالت اطلاعات خیلی زیادی نمایش داده میشن. شاید از این راه متوجه بشید که کدوم مرحله از بوت مدت قابل توجهی طول میکشه.
این psb جالب بود
کاربردش چیه ؟
secure boot رو میشه با عوض کردن firmware روی مادربرد دور زد. با این قابلیت، اگه firmware روی مادربرد امضای مورد اعتماد نداشته باشه، پردازنده اصلا شروع به کار نمیکنه.
چطور کار می کنه ؟
داخل پردازندههای amd، یه پردازنده کوچک دیگه با معماری arm وجود داره. اسمش amd platform security processor یا amd psp هست.
وقتی که پردازنده میخواهد شروع به کار کنه، اول این psp (با psb اشتباه نگیریدش) اجرا میشه، یه سری کارها انجام میده و بعد اجازه میده هستههای اصلی پردازنده شروع به کار کنند.
این پردازنده کوچک فکر کنم از سال ۲۰۱۴ یا ۲۰۱۵ میلادی به پردازندههای amd اضافه شده.
اینتل هم چنین چیزی داخل پردازندههای خودش داره. بهش گفته میشه intel managment engine یا intel me.
نحوه کار psb به این شکل هست که موقع بوت، اون پردازنده کوچک firmware مادربرد رو میخونه و امضای اون رو بررسی میکنه.
اگه امضا معتبر باشه، اون firmware رو اجرا، و بقیه مراحل بوت رو انجام میده.
اگه امضا معتبر نباشه، نمیذاره فرایند بوت جلوتر بده و یه پیغام نمایش میده که مشکل چی هست.
نمیدونم اون پردازنده کوچک چجوری برای بار اول امضای درست رو بدست میاره.
معمولا این سازوکارها برای سرورهایی لازمه که کار مهمی انجام میدن و دشمن نباید به اونها دسترسی پیدا کنه. اینکه این قابلیت حتی توی پردازندههای معمولی amd وجود داره یکم عجیبه.
تولیدکنندهها میتونند از این قابلیت استفاده و یه پردازنده رو محدود به یه سری مادربردهای خودشون کنند. هرچند تا حالا ندیدم اینجور بشه به غیر از یه مدل کامپیوترهای lenovo.
فکر کنم این قابلیت از دو نسل قبلی پردازندههای amd اضافه شده، درست مطمئن نیستم.
اینتل هم چنین چیزی توی پردازندههای رده سرور داره.
این قابلیت انحصاریه، همونطور که بقیه قابلیتهای amd psp انحصاری هستند؛ در نتیجه به جز amd، کسی نمیتونه امنیت اونها رو بررسی کنه.
فقط روی این مدل مادربورد یا به طور دقیق همین یک مادربورد ؟
به طور دقیق، پردازنده فقط وقتی شروع به کار میکنه که firmware روی مادربرد امضا معتبر داشته باشه.
همه مطالبی که گفته شد مثل این میمونه که کاربر بره فایل هاش رو انتخاب کنه و دکمه Delete رو بزنه ،
این با دستکاری کردن از روی کنجکاوی خیلی فرق میکنه ، اینکه چندتا استثنا رو که فقط توی بعضی از مدل ها وجود داره به عنوان مرجع در نظر بگیریم کمی غیرمنطقی هست .
قابلیت تغییر کلیدهای secure boot و پاک کردن کلیدهای tpm توی بیشتر uefi ها وجود داره.
استفاده از کلیدهای tpm هم زیاد غیرمعمول نیست. ویندوز ۱۱ از اون استفاده میکنه، فکر کنم رمزنگاری دیسک با bitlocker هم از کلیدهای tpm استفاده کنه.
توی گنو/لینوکس هم
ابزار clevis برای استفاده از tpm وجود داره.
ممکن هست کاربر توی منوی uefi، الویتهای بوت رو خراب کنه و سیستمعامل بوت نشه. در این حالت حتی اگه تنظیمات uefi رو به حالت اول برگردونید، اون الویتها به حالت قبل برنمیگردند.
از اونجایی ویندوز علاوه بر تغییر الویتهاب بوت، بوتلودر خودش رو هم داخل مسیر پیشفرض قرار میده، این خراب شدن الویتهای بوت براش مشکلی پیش نمیاره.
ولی توزیعهای گنو/لینوکسی معمولا اینکار رو انجام نمیدن و با خراب شدن الویتهای بوت، ممکنه دیگه بوت نشن. در این حالت لازمه که بوتلودر اونها رو درست کنید.
قابلیت psb توی همه پردازندههای جدید amd وجود داره، ولی فعال کردن اون توی بعضی uefi ها ممکن نیست. اما از اونجایی که توی همه پردازندههای جدید amd هست، کاربر باید حواسش رو جمع کنه که ناخواسته اون رو فعال نکنه.
شما گفتید توی تنظیمات uefi هیچ چیزی برای خراب کردن وجود نداره در حالی که این این چیزها وجود داره و میتونه واقعا برای کاربر مشکل بوجود بیاره.
موضوع: تنظیمات بایوس (دفعات بازدید: 5159 بار)
