Разработчики из компании 9elements портировали (https://9esec.io/blog/first-modern-coreboot-server-platform/) CoreBoot для серверной материнской платы Supermicro X11SSH-TF (https://www.supermicro.com/en/products/motherboard/X11SSH-TF). Изменения уже включены (https://review.coreboot.org/c/coreboot/+/32734/67) в основную кодовую базу CoreBoot и войдут в состав следующего значительного выпуска. Supermicro X11SSH-TF стала первой современной серверной материнской платой с процессором Intel Xeon, которую можно использовать с CoreBoot. Плата поддерживает процессоры Xeon (E3-1200V6 Kabylake-S или E3-1200V5 Skylake-S) и может оснащаться до 64 Гб ОЗУ (4 x UDIMM DDR4 2400MHz).
Работа проведена совместно (https://www.mullvad.net/de/blog/2019/8/7/open-source-firmwar.../) с VPN-провайдером Mullvad в рамках проекта System Transparency (https://www.mullvad.net/media/system-transparency-rev5.pdf), нацеленном на усиление защищённости серверной инфраструктуры и избавление от проприетарных компонентов, состояние которых невозможно контролировать. CoreBoot является свободным аналогом проприетарным прошивкам и доступнен для полной верификации и аудита. CoreBoot применяется в качестве базовой прошивки для инициализации оборудования и координации начальной загрузки. В том числе реализована инициализация графического чипа, PCIe, SATA, USB, RS232. При этом в CoreBoot интегрированы бинарные компоненты FSP 2.0 (Intel Firmware Support Package) и бинарная прошивка для подсистемы Intel ME, необходимые для инициализации и запуска CPU и чипсета.
Для загрузки операционной системы предлагается использовать SeaBios (https://seabios.org/) или LinuxBoot (https://www.opennet.ru/opennews/art.shtml?num=47965) (реализация UEFI на базе Tianocore (https://www.opennet.ru/opennews/art.shtml?num=35979) пока не поддерживается из-за несовместимости с графической подсистемой Aspeed NGI, работающей только в текстовом режиме). Помимо добавления поддержки платы в CoreBoot участники проекта также реализовали поддержку модулей TPM (Trusted Platform Module) 1.2/2.0 на базе Intel ME и подготовили драйвер для контроллера ASPEED 2400 SuperI/O, выполняющего функции BMC (Baseboard Management Controller).
Для удалённого управления платой обеспечена работа IPMI-интерфейса, предоставляемого контроллером BMC AST2400, но для использования IPMI требуется установка в BMC-контроллер оригинальной прошивки. Также была реализована функциональность верифицированной загрузки. В утилиту superiotool (https://www.coreboot.org/Superiotool) добавлена поддержка AST2400, а в inteltool (https://www.coreboot.org/Inteltool) поддержка Intel Xeon E3-1200. Intel SGX (Software Guard Extensions) пока не поддерживается из-за проблем со стабильностью.
URL: https://9esec.io/blog/first-modern-coreboot-server-platform/
Новость: https://www.opennet.ru/opennews/art.shtml?num=51240