Jak aktualizovat BIOS, UEFI nebo Microcode z Linuxu

Víš jak aktualizovat BIOS z vašeho PC? S chybami zabezpečení, jako je Spectre, Meltdown a všemi jeho variantami a dalšími bezpečnostními dírami detekovanými v hardwaru, zejména v procesorech, jste si jistě mnohokrát přečetli, že mnoho z nich je vyřešeno znalostí aktualizace systému BIOS nebo UEFI počítače ., protože pro mikrokód používaný CPU je nutná aktualizace nebo oprava, a tím se mění způsob fungování řídicí jednotky CPU tak, aby nebyl zranitelný vůči uvedeným hrozbám.

Kromě zranitelností firmware lze aktualizovat pro mnoho dalších příčin, jako je porucha hardwarového zařízení, neustálé chyby v softwaru nevysvětlitelným způsobem, aktualizace pro přidání některých funkcí atd. Ale jak jsem řekl, v posledních měsících jsme tento termín slyšeli příliš často kvůli bezpečnostním problémům, které jsou v některých případech zcela zásadní a které se týkaly způsobu, jakým moderní mikroprocesory zpracovávají některé skoky, mezipaměť, FPU a spekulativní provádění, i když v jiných případech byly detekovány v jiných částech systému, jako jsou čipové sady nebo určité bezpečnostní procesory integrované do těchto platforem ...

Co je firmware?

Všichni máme zcela jasno v tom, co je hardware (fyzická a hmatatelná část počítače, tj. Elektronika) a software (ta logická část, které se nelze dotknout: programy). Ale mezi hardwarem a softwarem, nebo spíše mezi hardwarem a jádrem operačního systému, existuje něco jiného: firmware. Firmware je přítomen ve všech zařízeních a částech počítače, od myši, optické jednotky až po GPU a CPU, které pracují s mikrokódem.

Ale co to je? To se dá říct je kód, to znamená software, a tedy logická součást, ale tentokrát je nezměnitelná. Funguje na nízké úrovni a přímo ovládá funkce elektronických obvodů. Tento firmware s pomocí řadičů nebo ovladačů umožňuje, že když jádro operačního systému přikáže hardwaru provést úkol, provede jej. Tento program nebo kód byl zaznamenán výrobcem zařízení do paměti, která je obvykle flash, nebo do nějakého typu ROM, jako je EEPROM.

Ale jeden z firmwaru, který nás v tomto článku nejvíce zajímá, je BIOS nebo UEFI systému, protože se jedná o velmi důležitý firmware, který má různé funkce během spouštění a provozu zařízení. Například tento kód je zodpovědný za aktivaci stroje během spuštění, detekci pevných disků nebo médií, kde je k dispozici operační systém, provádění některých kontrol zasahujících do jiného firmwaru komponent a periferních zařízení a kontrolu jádra při spuštění systému začít ...

Proč má jeho aktualizace vliv na CPU?

... a to má co do činění s CPU, dobře. Ukázalo se, že CPU mají řídicí jednotka„Tato řídicí jednotka je obvod, který je zodpovědný za řízení ostatních částí mikroprocesoru nebo CPU, jako je dekódování instrukcí a vytváření dat s operandy do příslušných registrů a následná aktivace některé funkční jednotky, jako je ALU nebo FPU a že provádí nějakou operaci s daty v závislosti na typu prováděné instrukce. Tyto pokyny zase pocházejí z kódu programu nebo softwaru, který se v té době zpracovává, protože jak byste měli vědět, programy jsou tvořeny řadou postupných pokynů.

Jak si dokážete představit, tato řídicí jednotka funguje tak, jak ji vytvořil výrobce nebo konstruktér. V některých specifických případech může být řídicí jednotka zapojena, to znamená, že jsou obvykle poměrně rychlé, ale ne příliš flexibilní, protože jsou implementovány přímo s velmi specifickými obvody. Na druhou stranu existují také programovatelné, tj. Poněkud „otevřenější“ obvody, které mohou fungovat tak či onak podle mikrokód nebo firmware. Z toho tedy vyplývá, že pokud změníme firmware nebo mikrokód, můžeme vytvořit řídicí jednotku, a proto CPU může fungovat odlišně nebo opravit některé chyby nebo chyby zabezpečení.

Nechci být příliš technický, chci, aby tento článek zasáhl co nejvíce lidí a aby vše, co chci říct, bylo snadno pochopitelné ... A na mnoha strojích se ukázalo, že tento kód je obvykle integrován do BIOS nebo UEFI , i když někdy může mikrokód aktualizovat jádro během každého spuštění, uložení aktualizace nebo opravy do nestálé paměti, tj. do paměti RAM, čímž se vyhnete nutnosti měnit BIOS / UEFI.

Jak aktualizovat BIOS / UEFI z Linuxu?

Chcete-li aktualizovat systém BIOS / UEFI z Linuxu nebo mikrokódu, pojďme se rozdělit oba postupy.

Před provedením aktualizace mikrokódu je velmi důležité, abyste měli aktualizovaný firmware BIOS / UEFIprotože jinak to nemusí fungovat. Zkontrolujte tedy web svého poskytovatele firem, jako je Phoenix, Award atd., Nebo web technické podpory vašeho modelu základní desky, který obvykle obsahuje balíčky pro aktualizaci těchto systémů.

Aktualizace systému BIOS / UEFI je něco choulostivého, jak vidíte v poslední části o rizicích. Proto vám doporučuji nedělat to, pokud si nejste jisti, co děláte a pokud chcete aktualizovat nebo to potřebujete, ale nemáte dostatek znalostí, vždy se poraďte s odborníkem. Kromě toho bych vám doporučil podívat se na projekty jako fwupd, BIOSDisck, Flashrom atd., Což jsou velmi praktické nástroje, které nám v tomto procesu pomohou.

Jeden z těch, které se mi líbí nejvíce, je flashrom, je to o balíček, který nám dává nástroj který umožňuje identifikovat, číst, zapisovat, ověřovat a mazat flash čipy. Slouží nejen k flashování systému BIOS / UEFI / CoreBoot, ale také k úpravě dalších flash pamětí síťových karet, GPU atd. V jiných zařízeních s upravitelným firmwarem. Podporuje také různé operační systémy a množství zařízení a modelů zařízení a desek.

• Nainstalujte balíček flashrom ve vaší distribuci pomocí správce balíčků, který běžně používáte, protože je to nástroj, který patří mezi úložiště nejdůležitějších distribucí.
• Spojené státy americké root nebo sudo, protože k jeho použití potřebujete oprávnění, abyste byli něčím delikátním.
• Identifikujte firmware které používáme jednoduše spuštěním příkazu:

flashrom

• Doporučuji vám udělat zálohujte aktuální ROM, v případě, že zjistíte, že nová aktualizace nefunguje a chcete se vrátit zpět. Pro to:

flashrom -r copia_seguridad.bin

• jo já vím máme novou ROM které jsme stáhli ze SPOLEHLIVÉHO zdroje, můžeme použít následující příkaz k blikání, například pokud se naše nová aktualizace nazývá uefi-sm.bin:

flashrom -wv uefi-sm.bin

Další informace naleznete v příručce s muž flashrom.

Aktualizovat mikrokód:

Chcete-li aktualizovat mikrokód našeho CPU, aniž byste se dotkli systému BIOS / UEFI, to znamená s jednoduchou úpravou v linuxovém jádře, můžete si nainstalovat potřebné balíčky pro svůj CPU. Například pokud máte moderní procesor AMD, je to normální nainstalujte balíček volal amd64-mikrokóda pro Intel balíček Intel-mikrokód (pokud používáte openSUSE, SUSE, RHEL, CentOS atd., balíček se volá microcode_ctl, a pro Arch intel-ucode nebo amd-ucode ...), které najdete na důvěryhodných webech ... (tj. pokud se jedná o stroj x86, pokud je to ARM nebo jiný, přejděte na web výrobce). Insisto a pesar de parecer un pesado, no descargues este tipo de paquetes desde fuentes desconocidas, es muy importante. Bien, ahora que ya lo tenemos descargado e instalado, puede que el procedimiento sea diferente en cada distribución y que implique activar algunos paquetes o actualizaciones restringidos como los propietarios…

Když jsou tyto balíčky nainstalovány a nastavení systému odkazující na aktualizace dobře nakonfigurováno, lvlastní bezpečnostní aktualizace který nainstaluje operační systém, již bude obsahovat tento typ oprav mikrokódu, pokud byla zjištěna nějaká závažná chyba zabezpečení, například Spectre, Meltdown atd.

Pokud chcete, můžete získat informace o mikrokódu z vaší distribuce pomocí:

dmesg | grep microcode

A tím získáme podrobnosti mikrokóduVe skutečnosti, pokud jsme tento příkaz provedli před instalací balíčků, které jsem zmínil dříve (po instalaci je nutné restartovat) a poté, uvidíme, že nám ukáže změny, pokud byla k dispozici dostupná aktualizace, která byla nainstalována.

Někdy AMD, Intel a další výrobci nebo designéři procesorů poskytují tarballům binární objekty BLOB pro aktualizaci mikrokódu nebo firmwaru. Pokud jste si stáhli jeden z těchto balíčků ze spolehlivého místa, postupujte podle pokynů od distributora nebo nahlédněte do souborů README.

Nebezpečí a tipy před aktualizací systému BIOS

Aktualizace firmwaru nebo mikrokódu CPU znamená ve většině případů aktualizaci uzavřených kódů poskytovaných poskytovateli CPU, které máme, uzavřené ovladače jádra (binární objekty BLOB) atd. Chci to objasnit, protože jeho obsah a způsob ovládání není znám a zdá se logické, že byste to měli vědět. V zásadě platí, že pokud nepoužíváte bezplatný hardware, nezbývá vám než důvěřovat výrobci nebo konstruktérovi vašeho CPU nebo základní desky, ale ano, nikdy si nestahujte mikrokód nebo firmware z neoficiálních webů, protože je to něco velmi choulostivého.

Ve skutečnosti nejen je to delikátní z bezpečnostních důvodů, protože byste také mohli udělat zařízení zcela nepoužitelným. I když jste si stáhli firmware z renomovaných webových stránek, může se během procesu něco pokazit, například výpadek proudu a to ponechá instalaci aktualizace uprostřed a firmware úplně poškozený, což znamená, že už možná uvažujete o utrácení peníze na nákup nové základní desky.

To je známo pod tímto pojmem cihla v hardwarovém slangu, to znamená, nechejte hardware jako cihlu bez jakéhokoli nástroje. Tímto vám chci říci, abyste byli opatrní a že nejsme zodpovědní za to, co se může stát, pokud se rozhodnete aktualizovat firmware nebo flashovat BIOS / EFI. Ale pozor, nemusí to vždy znamenat rizika, jak jsem vám již řekl, není vždy nutné „dotýkat se“ BIOS / EFI, existují také aktualizace, které jsou pouze na úrovni OS a tato rizika neznamenají .. .

Doufám, že tento výukový program byl užitečný, jakékoli dotazy nebo návrhy, nezapomeňte opustit svůj komentáře...