Kako ažurirati BIOS, UEFI ili Microcode s Linuxa

Znaš kako ažurirati BIOS s računala? S ranjivostima kao što su Spectre, Meltdown i sve njegove inačice i druge sigurnosne rupe otkrivene u hardveru, posebno u CPU-ima, sigurno ste mnogo puta pročitali da su mnoge od njih riješene znajući kako ažurirati BIOS ili UEFI vašeg računala, budući da je za mikrokôd koji koristi CPU potrebno ažuriranje ili zakrpa i na taj način mijenja način rada CPU kontrolne jedinice tako da nije ranjiv na spomenute prijetnje.

Pored ranjivosti, firmver se može ažurirati iz mnogih drugih razloga, poput kvara hardverskog uređaja, stalnih pogrešaka u softveru na neobjašnjiv način, ažuriranja za dodavanje nekih funkcionalnosti itd. Ali kao što sam rekao, posljednjih mjeseci previše smo puta čuli ovaj pojam zbog sigurnosnih problema koji su u nekim slučajevima prilično kritični i koji su povezani s načinom na koji moderni mikroprocesori obrađuju neke skokove, predmemoriju, FPU i spekulativno izvršavanje, iako su u drugim slučajevima otkriveni u drugim dijelovima sustava, poput čipseta ili određenih sigurnosnih procesora integriranih u ove platforme ...

Što je firmware?

Svima nam je sasvim jasno što su hardver (fizički i opipljivi dio računala, odnosno elektronika) i softver (onaj logični dio koji se ne može dodirnuti: programi). Ali između hardvera i softvera, odnosno između hardvera i jezgre operativnog sustava postoji još nešto: firmware. Firmware je prisutan u svim uređajima i dijelovima računala, od miša, optičkog pogona do GPU-a i CPU-a koji rade s mikrokodom.

Ali što je to? Pa to možeš reći je kod, to jest softver i stoga logična komponenta, ali ovaj put je nepromjenjiva. Djeluje na niskoj razini i izravno kontrolira funkcionalnost elektroničkih sklopova. Ovaj firmware uz pomoć kontrolera ili upravljačkih programa omogućuje da će ga izvršiti kada jezgra operativnog sustava naredi hardveru da izvrši zadatak. Ovaj program ili kod zabilježio je proizvođač uređaja u memoriji koja je obično flash ili u nekoj vrsti ROM-a, poput EEPROM-a.

Ali jedan od firmware-a koji nas najviše zanima u ovom članku je BIOS ili UEFI sustava, jer je to vrlo važan firmware koji ima razne funkcije tijekom pokretanja i rada opreme. Na primjer, ovaj je kôd odgovoran za aktiviranje stroja tijekom pokretanja, otkrivanje tvrdih diskova ili medija na kojima je dostupan operativni sustav, provođenje nekih provjera koje ometaju drugi firmware komponenata i perifernih uređaja i davanje nadzora jezgri kad se sustav pokrene početi ...

Zašto njegovo ažuriranje utječe na CPU?

... a ovo ima veze s CPU-om, sasvim dovoljno. Ispada da CPU imaju upravljačka jedinica, Ova upravljačka jedinica je sklop koji je odgovoran za upravljanje ostatkom dijelova mikroprocesora ili CPU-a, kao što je dekodiranje uputa i pretvaranje podataka s operandima u odgovarajuće registre, a zatim aktiviranje neke funkcionalne jedinice kao što je ALU ili FPU i da izvodi neku operaciju podataka, ovisno o vrsti instrukcije koja se izvršava. Ove upute zauzvrat potječu iz programskog ili softverskog koda koji se u to vrijeme obrađuje, jer kao što biste trebali znati, programi se sastoje od niza sekvencijalnih uputa.

Kao što možete zamisliti, ova upravljačka jedinica djeluje na način koji su je stvorili proizvođač ili dizajner. U nekim određenim slučajevima upravljačka jedinica može biti ožičena, odnosno obično je prilično brza, ali ne i vrlo fleksibilna, jer se provodi izravno s vrlo specifičnim krugom. S druge strane, postoje i programibilni, odnosno nešto „otvoreniji“ sklopovi koji mogu raditi na ovaj ili onaj način prema mikrokod ili firmware. Iz toga slijedi da ako promijenimo firmware ili mikrokôd možemo izraditi upravljačku jedinicu i stoga CPU može raditi drugačije ili ispraviti neke greške ili ranjivosti.

Ne želim biti previše tehnički, želim da ovaj članak dosegne što veći broj ljudi i da se sve što želim reći lako razumije ... I na mnogim se strojevima ispostavlja da je ovaj kod obično integriran u BIOS ili UEFI , iako ponekad mikrokôd može ažurirati jezgra tijekom svakog pokretanja, spremajući ažuriranje ili zakrpu u nestabilnu memoriju, odnosno u RAM, izbjegavajući potrebu za izmjenom BIOS-a / UEFI-a.

Kako ažurirati BIOS / UEFI s Linuxa?

Da bismo ažurirali BIOS / UEFI s Linuxa ili mikrokoda, raščlanimo oba postupka.

Prije izvođenja ažuriranja mikrokoda vrlo je važno da ga imate ažurirani firmware za BIOS / UEFIjer u suprotnom možda neće uspjeti. Stoga provjerite web mjesto svog dobavljača firmwarea kao što je Phoenix, Award itd. Ili web mjesto tehničke podrške vašeg modela matične ploče, koje obično imaju pakete za ažuriranje tih sustava.

Ažuriranje BIOS-a / UEFI-a nešto je osjetljivo kao što možete vidjeti u posljednjem odjeljku o rizicima. Zato vam savjetujem da to ne činite ako niste sigurni što radite i ako želite ažurirati ili vam je potrebno, ali nemate dovoljno znanja, uvijek se obratite stručnjaku. Uz to, preporučio bih vam da pogledate projekte poput fwupd, BIOSDisck, Flashrom itd., Koji su vrlo praktični alati koji će nam pomoći u tom procesu.

Jedan od onih koji mi se najviše sviđa je flashrom, otprilike paket koji nam daje alat koji omogućuje prepoznavanje, čitanje, pisanje, provjeru i brisanje flash čipova. Ovo ne služi samo za bljeskanje BIOS-a / UEFI / CoreBoot-a, već služi i za izmjenu ostalih flash memorija mrežnih kartica, GPU-a itd. Na drugim uređajima s modificiranim firmwareom. Također podržava razne operativne sustave i mnoštvo zupčanika i modela uređaja i ploča.

• Instalirajte flashrom paket u vašoj distribuciji pomoću upravitelja paketa koji inače koristite, jer je to alat koji je među spremištima najvažnijih distribucija.
• Koristiti korijen ili sudo, budući da za njegovu upotrebu trebaju privilegije da biste bili nešto osjetljivo.
• Identificirajte firmver koju koristimo jednostavnim izvršavanjem naredbe:

flashrom

• Preporučujem da napravite a sigurnosna kopija vašeg trenutnog ROM-a, u slučaju da ustanovite da novo ažuriranje ne radi i želite se vratiti. Za to:

flashrom -r copia_seguridad.bin

• da znam imamo novi ROM koju smo preuzeli iz POUZDANOG izvora, možemo upotrijebiti sljedeću naredbu za bljeskanje, na primjer ako se naše novo ažuriranje zove uefi-sm.bin:

flashrom -wv uefi-sm.bin

Za više informacija pogledajte priručnik s čovjek flashrom.

Ažuriranje mikrokoda:

Da biste ažurirali mikrokod našeg CPU-a, bez dodirivanja BIOS-a / UEFI-a, odnosno jednostavnom izmjenom Linux jezgre, možete odabrati instaliranje potrebnih paketa za svoj CPU. Na primjer, ako imate moderan AMD CPU, normalna stvar je to instalirajte paket llamado amd64-mikrokod, a za Intel paket intel-mikrokod (ako koristite openSUSE, SUSE, RHEL, CentOS itd., paket se zove mikrokod_ktl, a za Arch intel-ucode ili amd-ucode ...) koje možete pronaći na pouzdanim web mjestima ... (to jest, ako je to x86 stroj, ako je ARM ili drugačiji, idite na web mjesto proizvođača). Insisto a pesar de parecer un pesado, no descargues este tipo de paquetes desde fuentes desconocidas, es muy importante. Bien, ahora que ya lo tenemos descargado e instalado, puede que el procedimiento sea diferente en cada distribución y que implique activar algunos paquetes o actualizaciones restringidos como los propietarios…

S tim instaliranim paketima i dobro konfiguriranim postavkama sustava koje upućuju na ažuriranja, lvlastita sigurnosna ažuriranja koji instalira operativni sustav već će uključivati ​​ovu vrstu zakrpa mikrokoda ako je otkrivena neka ozbiljna ranjivost, kao što su Spectre, Meltdown itd.

Ako želite, podatke o mikrokodu možete dobiti iz distribucije pomoću:

dmesg | grep microcode

I time ćemo dobiti detalji mikrokodaZapravo, ako smo izvršili ovu naredbu prije instaliranja paketa koje sam prije spomenuo (nakon instalacije potrebno je ponovno pokrenuti), a zatim ćemo vidjeti da nam pokazuje promjene ako je bilo dostupno ažuriranje koje je instalirano.

Ponekad AMD, Intel i drugi proizvođači ili dizajneri procesora daju tarballs s binarnim blobovima za ažuriranje mikrokoda ili firmvera. Ako ste jedan od ovih paketa preuzeli s pouzdanog mjesta, slijedite upute distributera ili pogledajte datoteke README.

Opasnosti i savjeti prije nadogradnje BIOS-a

Ažuriranje firmvera ili mikrokoda CPU-a pretpostavlja u većini slučajeva da ažurira zatvorene kodove koji pružaju dobavljače CPU-a koje imamo, zatvorene pokretačke programe jezgre (binarne blobs) itd. Želim to pojasniti, budući da je njegov sadržaj i način rada nepoznat i čini se logičnim da biste to trebali znati. U principu, ako ne koristite besplatni hardver, ne preostaje vam ništa drugo nego vjerovati proizvođaču ili dizajneru vašeg CPU-a ili matične ploče, ali da, nikada nemojte preuzimati mikrokôd ili firmware s neslužbenih web stranica, jer je to nešto vrlo osjetljivo.

Zapravo ne samo osjetljivo je iz sigurnosnih razloga, jer bi i opremu mogli učiniti potpuno neupotrebljivom. Čak i ako ste preuzeli firmware s ugledne web stranice, tijekom postupka može doći do pogreške, kao što je nestanak struje, a instalacija ažuriranja i firmware ostaju potpuno oštećeni, što znači da možda već razmišljate trošeći novac na kupnju nova matična ploča.

To je ono što je poznato pod tim pojmom cigla u hardverskom slengu, to jest, ostavite svoj hardver poput opeke, bez ikakvih pomoćnih programa. Ovim vam želim reći da budete oprezni i da nismo odgovorni za ono što se može dogoditi ako odlučite ažurirati bilo koji firmver ili fleširati BIOS / EFI. Ali pazite, to ne uključuje uvijek rizike, kao što sam vam već rekao, ne morate uvijek "dodirivati" BIOS / EFI, postoje i ažuriranja koja su samo na razini OS-a i ne uključuju te rizike .. .

Nadam se da je ovaj vodič bio koristan, bilo kakvih pitanja ili prijedloga, ne zaboravite ostaviti komentari...