Ako aktualizovať BIOS, UEFI alebo Microcode z Linuxu

Vieš ako aktualizovať BIOS z vášho PC? Vďaka zraniteľnostiam, ako sú Spectre, Meltdown a všetkým jeho variantom a ďalším bezpečnostným dieram zisteným v hardvéri, najmä v procesoroch, ste si určite mnohokrát prečítali, že mnohé z nich sú vyriešené pomocou znalosti aktualizácie systému BIOS alebo UEFI vášho počítača. ., pretože je potrebná aktualizácia alebo oprava mikrokódu používaného CPU, a tak sa mení spôsob fungovania riadiacej jednotky CPU tak, aby nebol zraniteľný voči uvedeným hrozbám.

Okrem zraniteľností firmvér je možné aktualizovať z mnohých ďalších dôvodov, ako napríklad porucha hardvérového zariadenia, neustále nevysvetliteľné chyby v softvéri, aktualizácie na doplnenie niektorých funkcií atď. Ale ako som už povedal, v posledných mesiacoch sme tento výraz počuli príliš často kvôli bezpečnostným problémom, ktoré sú v niektorých prípadoch dosť kritické a súviseli so spôsobom, akým moderné mikroprocesory zvládajú niektoré skoky, vyrovnávaciu pamäť, FPU a špekulatívne vykonávanie, aj keď v iných prípadoch boli zistené v iných častiach systému, ako sú čipové sady alebo určité bezpečnostné procesory integrované do týchto platforiem ...

Čo je to firmvér?

Všetci máme úplne jasno v tom, čo sú hardvér (fyzická a hmatateľná časť počítača, to znamená elektronika) a softvér (táto logická časť, ktorej sa nemožno dotknúť: programy). Ale medzi hardvérom a softvérom, respektíve medzi hardvérom a jadrom operačného systému, existuje niečo iné: firmvér. Firmvér je prítomný vo všetkých zariadeniach a častiach počítača, od myši, optickej jednotky až po GPU a CPU, ktoré pracujú s mikrokódom.

Ale čo to je? No dá sa to povedať je kód, to znamená softvér, a teda logická súčasť, ale tentokrát je to nezmeniteľné. Funguje na nízkej úrovni a priamo riadi funkcie elektronických obvodov. Tento firmvér umožňuje pomocou ovládačov alebo ovládačov, že keď jadro operačného systému vydá príkazu hardvéru na vykonanie úlohy, vykoná ju. Tento program alebo kód bol zaznamenaný výrobcom zariadenia do pamäte, ktorá je zvyčajne flash, alebo do nejakého typu ROM, napríklad EEPROM.

Ale jeden z firmvérov, ktorý nás v tomto článku zaujíma najviac, je BIOS alebo UEFI systému, pretože ide o veľmi dôležitý firmvér, ktorý má rôzne funkcie počas spustenia a prevádzky zariadenia. Napríklad tento kód má na starosti aktiváciu stroja počas spustenia, zisťovanie pevných diskov alebo médií, kde je k dispozícii operačný systém, vykonávanie niektorých kontrol, ktoré zasahujú do iného firmvéru komponentov a periférií, a kontrolu nad jadrom, keď je systém k dispozícii začína sa začínať ...

Prečo jeho aktualizácia ovplyvňuje procesor?

... A čo to má spoločné s CPU, dosť dobre. Ukázalo sa, že CPU majú riadiaca jednotka„Táto riadiaca jednotka je obvod, ktorý je zodpovedný za riadenie ostatných častí mikroprocesora alebo CPU, napríklad za dekódovanie pokynov a za to, aby dáta s operandmi prešli do príslušných registrov a potom aktivovali niektorú funkčnú jednotku, napríklad ALU alebo FPU a že vykonáva určitú operáciu s údajmi v závislosti od typu vykonávanej inštrukcie. Tieto pokyny pochádzajú z kódu programu alebo softvéru, ktorý sa v danom okamihu spracováva, pretože ako by ste mali vedieť, programy sú tvorené radom postupných pokynov.

Ako si viete predstaviť, táto riadiaca jednotka funguje tak, ako ju vytvoril výrobca alebo dizajnér. V niektorých špecifických prípadoch môže byť riadiaca jednotka zapojená, to znamená, že sú zvyčajne dosť rýchle, ale nie príliš flexibilné, pretože sú implementované priamo s veľmi špecifickými obvodmi. Na druhej strane existujú aj programovateľné, tj. O niečo „otvorenejšie“ obvody, ktoré môžu pracovať tak či onak podľa mikrokód alebo firmvér. Z toho teda vyplýva, že ak zmeníme firmvér alebo mikrokód, môžeme vyrobiť riadiacu jednotku, a teda procesor môže pracovať inak alebo opraviť niektoré chyby alebo chyby zabezpečenia.

Nechcem byť príliš technický, chcem, aby tento článok oslovil čo najviac ľudí a aby všetko, čo chcem povedať, bolo ľahko pochopiteľné ... A na mnohých strojoch sa ukázalo, že tento kód je zvyčajne integrovaný do BIOS alebo UEFI , aj keď niekedy môže byť mikrokód aktualizovaný jadrom pri každom zavedení, uložením aktualizácie alebo opravy do volatilnej pamäte, to znamená do pamäte RAM, bez nutnosti meniť BIOS / UEFI.

Ako aktualizovať BIOS / UEFI z Linuxu?

Ak chcete aktualizovať systém BIOS / UEFI z systému Linux alebo mikrokódu, urobme rozbor obidva postupy.

Pred vykonaním aktualizácie mikrokódu je veľmi dôležité, aby ste to mali aktualizovaný firmvér BIOS / UEFIpretože inak to nemusí fungovať. Skontrolujte teda webovú stránku svojho poskytovateľa služieb, ako sú Phoenix, Award atď., Alebo webovú stránku technickej podpory vášho modelu základnej dosky, ktorá zvyčajne obsahuje balíky na aktualizáciu týchto systémov.

Aktualizácia systému BIOS / UEFI je niečo jemné, ako vidíte v poslednej časti o rizikách. Preto vám odporúčam, aby ste to nerobili, ak si nie ste istí, čo robíte a ak sa chcete aktualizovať alebo potrebujete, ale nemáte dostatok vedomostí, vždy sa poraďte s odborníkom. Okrem toho by som vám odporučil pozrieť si projekty ako fwupd, BIOSDisck, Flashrom atď., Čo sú veľmi praktické nástroje, ktoré nám v tomto procese pomôžu.

Jeden z tých, ktorý sa mi páči najviac, je flashrom, je to o balíček, ktorý nám poskytne nástroj ktorý umožňuje identifikovať, čítať, písať, overovať a mazať flash čipy. Toto slúži nielen na flashovanie systému BIOS / UEFI / CoreBoot, ale tiež na úpravu ďalších flash pamätí sieťových kariet, GPU atď. V iných zariadeniach s upraviteľným firmvérom. Podporuje tiež rôzne operačné systémy a množstvo prevodových stupňov a modelov zariadení a dosiek.

• Nainštalujte si balíček flashrom vo svojej distribúcii pomocou správcu balíkov, ktorý bežne používate, pretože ide o nástroj, ktorý patrí medzi úložiská najdôležitejších distribúcií.
• Spojené štáty americké root alebo sudo, pretože na jeho použitie potrebujete oprávnenie, aby ste boli niečím delikátnym.
• Identifikujte firmvér ktoré používame jednoduchým vykonaním príkazu:

flashrom

• Odporúčam vám urobiť a zálohujte svoju aktuálnu ROM, v prípade, že zistíte, že nová aktualizácia nefunguje a chcete sa vrátiť späť. Pre to:

flashrom -r copia_seguridad.bin

• Áno, viem máme novú ROM ktoré sme si stiahli zo SPOĽAHLIVÉHO zdroja, môžeme na flashovanie použiť nasledujúci príkaz, napríklad ak sa naša nová aktualizácia volá uefi-sm.bin:

flashrom -wv uefi-sm.bin

Viac informácií nájdete v príručke s muž flashrom.

Aktualizácia mikrokódu:

Ak chcete aktualizovať mikrokód nášho procesora bez toho, aby ste sa dotkli systému BIOS / UEFI, to znamená jednoduchou úpravou v jadre systému Linux, môžete si zvoliť inštaláciu potrebných balíkov pre svoj procesor. Napríklad, ak máte moderný procesor AMD, normálne je, že nainštalujte balík volal amd64-mikrokóda pre Intel balíček Intel-mikrokód (ak používate openSUSE, SUSE, RHEL, CentOS atď., balík sa volá microcode_ctl, a pre Arch intel-ucode alebo amd-ucode ...), ktoré nájdete na dôveryhodných webových stránkach ... (že ak ide o stroj x86, ak je to ARM alebo iný, prejdite na web výrobcu). Insisto a pesar de parecer un pesado, no descargues este tipo de paquetes desde fuentes desconocidas, es muy importante. Bien, ahora que ya lo tenemos descargado e instalado, puede que el procedimiento sea diferente en cada distribución y que implique activar algunos paquetes o actualizaciones restringidos como los propietarios…

Keď sú tieto balíčky nainštalované a nastavenia systému odkazujúce na aktualizácie správne nakonfigurované, lvlastné bezpečnostné aktualizácie ktorý nainštaluje operačný systém, už bude obsahovať tento typ opráv mikrokódu, ak sa zistí závažná chyba zabezpečenia, napríklad Spectre, Meltdown atď.

Ak chcete, môžete získať informácie o mikrokóde z distra pomocou:

dmesg | grep microcode

A s tým získame podrobnosti mikrokóduV skutočnosti, ak sme tento príkaz vykonali pred inštaláciou balíkov, ktoré som spomínal predtým (po inštalácii je potrebné reštartovať) a potom, uvidíme, že nám ukáže zmeny, ak bola k dispozícii nejaká dostupná aktualizácia.

Niekedy spoločnosti AMD, Intel a ďalší výrobcovia alebo dizajnéri procesorov poskytujú na aktualizáciu mikrokódu alebo firmvéru tarball s binárnymi blobmi. Ak ste si jeden z týchto balíkov stiahli na spoľahlivom mieste, postupujte podľa pokynov od distribútora alebo si prečítajte súbory README.

Nebezpečenstvá a tipy pred aktualizáciou systému BIOS

Aktualizácia firmvéru alebo mikrokódu CPU vo väčšine prípadov predpokladá aktualizáciu uzavretých kódov, ktoré poskytujú dodávateľov CPU, ktorých máme, uzavreté ovládače jadra (binárne objekty blob) atď. Chcem to objasniť, pretože jeho obsah a spôsob fungovania nie sú známe a zdá sa byť logické, že by ste to mali vedieť. V zásade platí, že ak nepoužívate bezplatný hardvér, nezostáva vám nič iné, ako dôverovať výrobcovi alebo dizajnérovi vášho procesora alebo základnej dosky. Áno, nikdy si nestiahnite mikrokód alebo firmvér z neoficiálnych webových stránok, pretože je to niečo veľmi jemné.

V skutočnosti nielen je to jemné z bezpečnostných dôvodov, pretože by ste tiež mohli zariadenie úplne zneužiť. Aj keď ste si stiahli firmvér z renomovanej webovej stránky, počas procesu sa môže niečo pokaziť, napríklad výpadok napájania a to spôsobí, že inštalácia aktualizácie bude úplne poškodená, čo znamená, že už možno uvažujete o tom, že budete míňať peniaze na nákup nová základná doska.

Toto je známe pod pojmom tehla v hardvérovom slangu, to znamená, že necháte hardvér ako tehlu bez akejkoľvek pomôcky. Týmto vám chcem povedať, aby ste boli opatrní a že nie sme zodpovední za to, čo sa môže stať, ak sa rozhodnete aktualizovať firmvér alebo spustiť BIOS / EFI. Ale pozor, nemusí to vždy znamenať riziká, ako som vám už povedal, nie vždy je potrebné „dotýkať sa“ systému BIOS / EFI, existujú aj aktualizácie, ktoré sú iba na úrovni operačného systému a tieto riziká z nich nevyplývajú. .

Dúfam, že tento návod bol užitočný, akékoľvek otázky alebo návrhy, nezabudnite zanechať svoje komentáre...