BIOS sicher flashen, wenn möglich per SSH

Jump to last post
HoneyBadger

HoneyBadger

Aktiver NGBler
Registriert
7 Sep. 2015
Beiträge
1.913
Moin,

Intel hat ja gerade mehrere Sicherheitsproblem, welche ich nicht ignorieren möchte.
Die Lücke von vor einigen Wochen hat der Hersteller
You do not have permission to view link please Anmelden or Registrieren
in 2018 nun endlich gefixt.

Nun habe ich mir
You do not have permission to view link please Anmelden or Registrieren
angesehen und festgestellt, dass ich da ja einiges zerschießen kann. Unter Windows war das für mich kein Problem. Unter Debian, insbesondere durch meine ersten Linuxerfahrungen, traue ich mich da allerdings noch nicht ohne mich hier rückzuversichern dran.

Eigentlich wäre mir "never change a running system" gerade lieber. Nur möchte ich auch keine Lücken klaffen lassen.

Könnt ihr mich vorab, durch diesen Prozess in der Theorie begleiten?

Liebe Grüße


Ps: Ginge das eigentlich per SSH oder sollte ich das besser gar nicht erst per SSH probieren?

--- [2018-01-05 13:06 CET] Automatisch zusammengeführter Beitrag ---

Ich habe mich inzwischen mal mit Asus auseinander gesetzt und werde wohl zwei mal ran müssen.

Problem ist nur, dass es nur einen Windows Installer gibt. Kann ich mir GRUB zerschießen, wenn ich mir ein Windows Image auf eine freie Partition installiere und dann darauf boote?

Hier noch die Antwort von Asus.

um die Intel ME Firmware Sicherheitslücke zu schließen (Intel SA-00086), ist es im Falle das ASUS P10S-M WS ausreichend, Ihr Motherboard auf das neuste BIOS zu aktuallisieren.
Hierdurch wird die ME Firmware auf v4.1.4.054 aktuallisiert, in der die o.g. Lücke geschlossen ist.

Das BIOS Update können Sie hier downloaden:
You do not have permission to view link please Anmelden or Registrieren


You do not have permission to view link please Anmelden or Registrieren


Thema: Meltdown und Spectre

In diesem Fall wird es zu einem späteren Zeitpunkt, jedoch in naher Zukunft, ein weiteres BIOS Update geben, in dem der Micro-Code der CPU aktuallisiert wird.
Hierdurch wird die "Meltdown" Lücke geschlossen.

Für "Spectre" sollten Sie unter Linux das "KAISER" Hotfix installieren.
Zum Vergrößern anklicken....

Das benannte Kaiser update kommt sicherlich einfach über die Standard Repository und sollte per Standardupdate einfließen, richtig?
 
HoneyBadger schrieb:
Das benannte Kaiser update kommt sicherlich einfach über die Standard Repository und sollte per Standardupdate einfließen, richtig?
Zum Vergrößern anklicken....

Das KAISER Update kommt über eine neue Kernelversion, bei mir war es gestern aber erst drin. Ich glaube du nutzt ja auch Debian?
Die neue Kernel-Version solltest du dann, so fern verfügbar, direkt über über "apt"/Paketmanager, aus den Standardrepositories, erhalten.

Auch gut zu wissen dabei, wie man ermitteln kann ob das Update/"Bugfix" korrekt installiert ist: https://ngb.to/threads/32611-Kurze-Frage-dumme-Antwort-–-oder-so-Tux-edition!?p=840189#post840189

Nur den Kernel booten/neu starten dabei nicht vergessen, damit es aktiv wird...

--- [2018-01-08 11:34 CET] Automatisch zusammengeführter Beitrag ---

Zum Thema Flashen, könnte das hier helfen:
You do not have permission to view link please Anmelden or Registrieren


Das soll damit auch über SSH funktionieren, aber da würde ich mich unbedingt vorher informieren ob du das Tool nutzen kannst und die Software mit dem Mainboard kompatibel ist... nen Wikilink gibt es glaube ich bein Ubuntuusers/Ubuntu Wiki. (
You do not have permission to view link please Anmelden or Registrieren
)

Aber ich habe auch nur am Rande mitbekommen, dass man das nutzen kann, selbst getestet habe ich es noch nicht.
Vielleicht hat diesbezüglich ja noch jemand anderes Information für dich... oder es selbst schon genutzt.
 
Zuletzt bearbeitet:
  • Thread Starter Thread Starter
  • #3
Gelesen hatte ich das schon mit Flash Rom. Siehe mein Link zuvor.
Bis jetzt habe ich noch nichts geflasht. Die Doku aus dem Ubuntu Wiki ist mir etwas zu sehr mit "Achtung, System kann spontan in Flammen aufgehen." gespickt. Deswegen wollte ich das hier einmal komplett durch denken, bevor ich was unüberlegtes mache und wie der Ochs vorm Berg stehe.

Ich hätte eine leere Partition. Komme wohl am sichersten da durch, wenn ich den Server mit Monitor und Maus/Tastatur bediene, auf die freie Partition temporär Windows installiere und dann den Weg per Setupdatei wähle, oder?

Richtig glücklich bin ich damit nicht. Mhmmm...
 
Ist eine gute Frage, was für Eigenheiten der Hersteller in seiner Flashsoftware drin hat die, vielleicht, Flashrom so nicht hat.....

Haben die keine Guides für Linux-User, zufällig? - Wenn du schon mit dem Support in Kontakt stehst?

Poch doch mal, vielleicht ergibt sich etwas. Nerds soll es ja überall geben und wenn du nen motivierten Supportler hast... ;)
 
  • Thread Starter Thread Starter
  • #5
Das war meine erste Frage. Es gibt wohl für manche Boards Linux Support. Für meins leider nicht. Da gibt's nur den Windows Installer.

Das fand ich schon etwas merkwürdig. Hätte gedacht, so etwas grundlegendes ließe sich unabhängig vom BS flashen. Wieder was gelernt.
 
Flashrom funktioniert vor allem nur dann wenn der flash bereits schreibar ist, was er garantiert nicht ist, da die firmware von quasi allen systemen schon alleine aus Selbstschutz den Schreibschutz einschaltet.
Solange man kein backup seines BIOS mittels externen gerät gemacht hat und es auch verifizierbar zurück spielen kann sollte man sich an die offiziellen tools halten, auch wenn das bedeutet windows booten zu müssen.
Ein neuer Briefbeschwerer ist zwar immer toll, aber obs nun ein so teurer sein muss ist ne andere frage, zumal son Mainboard nun auch nicht besonders Handlich ist.



Wenn das eine uefi Installation ist sollte eine windows Installation den bootloader nicht anfassen, lediglich die Bootreihenfolge wird verändert, was man dann später im "bios" setup wieder ändern kann.
Wenn es eine bios instalation ist wird grub definitiv überschrieben, zumindest der teil der im MBR ist.
 
HoneyBadger schrieb:
Wieder was gelernt.
Zum Vergrößern anklicken....

Ich auch :)

Aber wer weiß wie viel oder nicht viel das "kompliziert ist" und auf andere Schnittstellen zugreift.

Vielleicht ist es auch einfach nicht in der heutigen Zeit möglich, für "jede Distro" nen Flasher anzubieten, vielleicht auch, weil das ganze nicht oder nicht richtig einem Standard folgt und jeder was eigenes macht?
Und ja, das ist leider ein empfindlicher Teil, wenn der erst mal geschrotet ist, hat man als Normal-Sterblicher, wohl keine Option da "irgendwie" in nen Flash-fähigen Betriebsmodus zu gelangen....

Da würde dann wohl nur noch einschicken helfen.... :(
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben