Comments 42
Если для старого BIOS еще и нужна прослойка что бы загрузить NvmExpressDxe.efi, то если есть UEFI, то UEFI умеет без всяких прослоек грузить недостающие драйвера со своего EFS раздела.
Т.е. нужно устройство которое видит UEFI, на нем создается EFS раздел — драйвер кладем на него и прописываем в менеджер загрузки UEFI загрузку этого драйвера. Тогда после загрузки уже будет видно устройство NVME.
Под Linux для создания загрузочной записи UEFI для драйвера есть улилита efibootmgr. Если после загрузки драйвер не активируется то efibootmgr надо собрать из мастер ветики Github — там уже добавлена возможность активировать пере-подсоединения драйверов после загрузки.
Т.е. нужно устройство которое видит UEFI, на нем создается EFS раздел — драйвер кладем на него и прописываем в менеджер загрузки UEFI загрузку этого драйвера. Тогда после загрузки уже будет видно устройство NVME.
Под Linux для создания загрузочной записи UEFI для драйвера есть улилита efibootmgr. Если после загрузки драйвер не активируется то efibootmgr надо собрать из мастер ветики Github — там уже добавлена возможность активировать пере-подсоединения драйверов после загрузки.
Все верно. Но я тут просто свой клинический случай рассматриваю, старый BIOS, мать без слота M.2, PCI-E 1x, AMD, Мастдай и Eclipce (собственно, ради скорости которого все это и было провернуто через самые фибры души). Конечно, если клинический букет был бы меньше, то и жисть была бы светлее))
драйвер кладем на него и прописываем в менеджер загрузки UEFI загрузку этого драйвераМне видится это менее безопасным, чем встроить драйвер непосредственно в прошивку. Потому что у атакующего с локальным доступом появляется возможность подменить драйвер.
Плюс ещё вопрос, как на это отреагирует операционная система (особенно Windows), не вздумается ли ей при очередном мажорном обновлении поместить на это устройство/раздел загрузчик.
Потенциальные грабли, в общем, при том, что встроить драйвер непосредственно в UEFI-прошивку не очень трудно, если следовать руководствам с картинками. Если такой возможности нет (допустим, обновлять прошивку может лишь вендор, имеющий приватный ключ), то да, как обходной путь сойдёт.
Если обсуждать безопасность, то атакующий с доступом к железу и без того имеет кучу векторов атаки. От него спасет только надежное шифрование всех критичных данных.
EFS раздел имеет вполне определенную структуру и там что винда, что linux свои загрузкики размещают совершенно спокойно друг с другом не пересекаясь. Но обновления винды это вообще дизастер с чертями и плясками.
Встраивать в прошивку и перепрошивать — в целом гораздо более рискованное занятие, чем догрузить драйвер с EFS не трогая прошивку. Собственно UEFI специально затачивалась на то что бы уметь загружать с EFS все что нужно для дальнейшей загрузки ОС. Это и драйвера (остаются резидентно) и утилиты (загружаются только на время работы) и загрузчики ОС (если репортят об успехе, то уже не возвращают управление в UEFI).
EFS раздел имеет вполне определенную структуру и там что винда, что linux свои загрузкики размещают совершенно спокойно друг с другом не пересекаясь. Но обновления винды это вообще дизастер с чертями и плясками.
Встраивать в прошивку и перепрошивать — в целом гораздо более рискованное занятие, чем догрузить драйвер с EFS не трогая прошивку. Собственно UEFI специально затачивалась на то что бы уметь загружать с EFS все что нужно для дальнейшей загрузки ОС. Это и драйвера (остаются резидентно) и утилиты (загружаются только на время работы) и загрузчики ОС (если репортят об успехе, то уже не возвращают управление в UEFI).
И да, от подмены драйвера есть SecureBoot: добавить ключ, и подписать драйвер — профит: подменить драйвер не получится…
Но это все все равно не отменяет других возможностей локально атакующего, например тупо извлечь диск и слить с него инфу на другом компе.
Но это все все равно не отменяет других возможностей локально атакующего, например тупо извлечь диск и слить с него инфу на другом компе.
При такой реализации можно усложнить жизнь взломщика/вора. Например полное шифрование носителя с ключём, который лежит на этой самой клеверной флешке.
Если бы вы потрудились прочитать мой самый первый комментарий, то речь шла о том, что клевер — не нужен для компа в котором есть UEFI. И мы тут обсуждали именно такой кейс.
Если в компьютере никакого другого носителя кроме не поддерживаемого «из коробки» NVME нет — то да, нужна флешка, чтобы на ней организовать EFS раздел для UEFI. Но если есть другой (поддерживаемый) носитель, то тогда и флешка особо не нужна.
А организация шифрования данных пользователя — это отдельный большой вопрос, который несколько выходит за рамки обсуждаемых тут решений.
Если в компьютере никакого другого носителя кроме не поддерживаемого «из коробки» NVME нет — то да, нужна флешка, чтобы на ней организовать EFS раздел для UEFI. Но если есть другой (поддерживаемый) носитель, то тогда и флешка особо не нужна.
А организация шифрования данных пользователя — это отдельный большой вопрос, который несколько выходит за рамки обсуждаемых тут решений.
У меня на Asus 87H все прекрасно работает и на ArchLinux и Windows10
Прошел почти тот-же путь.
Для автозагрузки, кроме Timeout нужно еще прописать в DefaultVolume
в котом id загрузчного раздела
И еще я перенес раздел созданный BDU на sata диск.
Там немного нюансов было с пропиской загрузочной области, но в общем ничего особенного.
Так избавился от постоянной флешки.
Для автора:
1. У Кловера отличная документация, с нее нужно было начинать знакомство.
2. Для конфигурации «не руками» можно использовать веб конфигуратор cloudclovereditor.altervista.org/cce/editor.php
3. Для загрузки без Enter, можно использовать в DefaultVolume значение LastBootedVolume.
P.S. Очень сыро
1. У Кловера отличная документация, с нее нужно было начинать знакомство.
2. Для конфигурации «не руками» можно использовать веб конфигуратор cloudclovereditor.altervista.org/cce/editor.php
3. Для загрузки без Enter, можно использовать в DefaultVolume значение LastBootedVolume.
P.S. Очень сыро
Конкретно у меня LastBootedVolume значение не работает, сейчас оно как раз и стоит. У меня есть подозрение, что с этим значением какой-то лаг в Клевере, когда SSD подключается через переходник PCI-E >> M.2 да еще в режиме PCIe1x.
За Web-конфигуратор спасибо, я его видел краем глаза, но для моей матери прессета не нашел. Поэтому не рискнул.
А так конечно выглядит для специалиста многообещающе. Добавляю в статью и тег и ссылку.
У нас сыро, но лапкам тепло)) Пост же не про тонкую настройку Клевера. Для этого есть и документация и пламенный энтузиазм.
За Web-конфигуратор спасибо, я его видел краем глаза, но для моей матери прессета не нашел. Поэтому не рискнул.
А так конечно выглядит для специалиста многообещающе. Добавляю в статью и тег и ссылку.
У нас сыро, но лапкам тепло)) Пост же не про тонкую настройку Клевера. Для этого есть и документация и пламенный энтузиазм.
У меня материнка с UEFI, но без поддержки NVMe. Прошёл более рискованный путь: вшил драйвер NVMe в саму UEFI-прошивку по инструкции (для каждого производителя UEFI немного по-разному). Теперь есть возможность загружаться напрямую с SSD без промежуточных загрузчиков.
А что делать тем, у кого биос подписан?
Т.е. сам факт того что вы смогли модифицировать биос говорит о том, что он не имеет цифровой подписи, т.е. не защищен.
Т.е. сам факт того что вы смогли модифицировать биос говорит о том, что он не имеет цифровой подписи, т.е. не защищен.
А разъёма на матплате тоже нет, и подключали через переходник pcie — nvme? Если так, можете скинуть ссылки на мануалы, по которым вы действовали?
Да, разъема нет. Поставил переходник PCIe x4 -> NVMe. Мать: Gigabyte ga-970a-ds3p fx
Действовал вот по этому мануалу. По идее, он подойдёт всем владельцам AMI UEFI, но точно сказать нельзя, и делать это стоит на свой страх и риск.
Именно так у меня и у меня все работает. Все Ок ! :))
Автор Кловера (Slice) не рекомендует использовать Clover Configurator, а рекомендует редактировать руками.
вместо флешки лучше использовать 10ГБ sata SSD, который стоит копейки. Его к тому же можно сделать невидимым для ОС, чтобы не мешался.
Если есть флешка значит можно водрузить grub! и половину системы в придачу туда же вкорячить.
Так зачем что то еще?
p.s. на ноуте можно использовать карту памяти (картридер почти на всех есть)
Так зачем что то еще?
p.s. на ноуте можно использовать карту памяти (картридер почти на всех есть)
Чем это лучше Plop Boot manager? Который можно чуть ли не на дискету записать и стартовать с старого компа так же?
Clover_v2.5k_r5071.zip:
You are in the wrong place, go here
github.com/CloverHackyColor/CloverBootloader/releases
PS: Clover of Hacky Color_5000_rus.pdf — документация на русском!
PPS: Кто-нибудь может связаться с автором BDUtility, что-бы обновить её поиск новой версии по новому адресу? Или она не поддерживается уже? Что-то я на сайте не нашел контактов, а applelife — не мой профиль…
UPD: Нашел почту, отписался, не знаю рабочая-ли, правда…
You are in the wrong place, go here
github.com/CloverHackyColor/CloverBootloader/releases
PS: Clover of Hacky Color_5000_rus.pdf — документация на русском!
PPS: Кто-нибудь может связаться с автором BDUtility, что-бы обновить её поиск новой версии по новому адресу? Или она не поддерживается уже? Что-то я на сайте не нашел контактов, а applelife — не мой профиль…
UPD: Нашел почту, отписался, не знаю рабочая-ли, правда…
Извиняюсь за оффтоп, но проблема насущная. Ввиду дрязг между Nvidia и Apple, нет возможности завести последние macOS на видеокартах серии 1xxx и 2xxx. Интересует каким образом можно разрабатывать под ios 13 с видеокартой этих серий. Может кто этим занимается, мне бы очень не помешала помощь.
Максимум чего я добился — это установка High Sierra, веб-драйвера на видеокарту и Xcode 10.3, но поддержки ios 13 в нем нет. Пробовал вручную добавлять платформы в пакет Xcode, но он их отказывается воспринимать.
Максимум чего я добился — это установка High Sierra, веб-драйвера на видеокарту и Xcode 10.3, но поддержки ios 13 в нем нет. Пробовал вручную добавлять платформы в пакет Xcode, но он их отказывается воспринимать.
А чего не вшить кловер в Legacy BIOS? с PLOP вроде нечто подобное делали…
Проделал вариант с модификацией Legacy BIOS: если в наличии есть программатор(на всякий случай, чтобы восстановить окирпиченную материнку) и желание грузиться напрямую с NVMe без всяких USB Flash — можно вшить OpRom в BIOS
Сделал флэшку с клевером и теперь при выборе загрузки с установочной флэшки, или при выборе грузить Windows с HDD в легаси режиме просто стоит с чёрным экраном и ничего не происходит. С помощью AOMEI перенёс виндовс на NVME предварительно сделав его как GPT и то же самое. Куда копать, из за чего может зависать загрузка?
Отныне флешка навсегда будет установлена в свободном USB порту вашего компьютера, до тех пор, пока вы обновите старое железо!Я ведь правильно понимаю, что эта флешка нужна будет только в момент загрузки? Ну т.е. после загрузки ОС её можно будет спокойно вытащить (до следующей перезагрузки)? Или же к ней в момент работы ОС будут происходить обращения?
Ну т.е. после загрузки ОС её можно будет спокойно вытащить (до следующей перезагрузки)?
да, но это же неудобно.
я собирал на днях подобную систему, купил на авито sata dom на 128 МБ за сотню рублей (буквально).
можно грузиться и со старого sata hdd, но то, что было под рукой, шумит в простое, а сходу настроить остановку шипнделя в винде не получилось.
Если размонтировать ненужный накопитель, шпиндель остановится сам через некоторое время.
SATA DOM действительно удобная штука, особенно те что не требуют дополнительного кабеля питания.
SATA DOM действительно удобная штука, особенно те что не требуют дополнительного кабеля питания.
вообще не назначал буквы разделам на этом диске, ничего не останавливалось.
Возможно настройки системы или параметры электропитания не позволяют диску засыпать. Ещё можно попробовать отследить обращения системы к диску с помощью procmon в режиме логгирования загрузки системы. Но раз вопрос решился, то вроде бы и ни к чему.
Sign up to leave a comment.
Использование новых NVMe SSD в качестве загрузочного диска на старых системах с Legacy BIOS (для любой ОС)