zurück zum Artikel

Für das Supermicro-Mainboard X11SSH-TF gibt es eine angepasste Coreboot-Version, die das UEFI-BIOS ersetzt und Linux starten kann.

Die Firmen 9elements und der schwedische VPN-Dienstleister Mullvad ersetzen das proprietäre UEFI-BIOS des Supermicro-Serverboards X11SSH-TF durch Coreboot. Damit ist das X11SSH-TF eines der modernsten lieferbaren Mainboards, das mit quelloffener Firmware nutzbar ist.

Das X11SSH-TF hat eine LGA1151-Fassung für einen Intel Xeon E3-1200V6 (Kaby Lake-S) oder Xeon E3-1200V5 (Skylake-S), lässt sich mit bis zu 64 GByte DDR4-ECC-RAM bestücken und nimmt zwei PCIe-Karten auf. Außerdem ist der 10-GBit/s-Ethernet-Controller Intel X550 mit zwei 10GBaseT-Ports an Board, was dessen Preis von über 360 Euro erklärt. Für Fernwartung steht der Aspeed-BMC AST2400 bereit, der auch mit Coreboot funktioniert, allerdings mit seiner eigenen IPMI-Firmware.

Coreboot ist zwar quelloffen, bindet beim X11SSH-TF allerdings zwei Intel-Binärpakete (BLOBs) ein: Das Firmware Support Package FSP 2.0 [1] und die oft kritisierte ME-Firmware [2].

Als Payload kann Coreboot beim X11SSH-TF LinuxBoot oder SeaBIOS verwenden, letzteres zum Start BIOS-kompatibler Betriebssysteme. Die offene UEFI-Implementierung Tianocore bootet bisher nicht als Coreboot-Payload, weil der Grafikkern im AST2400 nicht UEFI-kompatibel startet. Bisher nicht nutzbar sind auch Intels Software Guard Extensions (SGX). Das optionale Trusted Platform Module Supermicro AOM-TPM-9665V-C [3] soll wiederum funktionieren (TPM 2.0, Infineon).

Selbst flashen

9elements will die Arbeit an Coreboot fürs X11SSH-TF auf der Open Source Firmware Conference OSFC 2019 in Kalifornien vorstellen. Offene Firmware ist Teil der Initiative System Transparency [4], die Sicherheit und Vertrauenswürdigkeit stärken soll.

Wer Coreboot auf dem Supermicro X11SSH-TF (ab 965,45 €) [5] nutzen will, muss es bisher selbst in den SPI-Flash-Chip des Boards flashen. Hinweise dazu liefert das Coreboot-Repository Gerrit [6]. Eine fertig auf Coreboot statt UEFI-BIOS umgestellte Board-Version ist für die Zukunft geplant, aber der Anbieter ist noch unklar.

Der 2017 eingeführte Xeon E3-1200V6 ist noch im Einzelhandel erhältlich, billigste Version ist der Vierkerner Intel Xeon E3-1220V6 (ab 409 €) [7] ohne Hyper-Threading für rund 230 Euro. Das Board kann aber auch mit einem Celeron G, Pentium G oder Core i3 aus den Baureihen Kaby Lake und Skylake umgehen; billigste Option ist der Intel Celeron G3900 (ab 119,95 €) [8] für knapp 50 Euro. Als Hauptspeicher sind ungepufferte (ECC-)UDIMMs mit jeweils bis zu 16 GByte vorgesehen.

Das ähnliche Supermicro X11SSL-F nur mit Gigabit Ethernet hatte c't in der Ausgabe c't 5/2016 auf Seite 100 getestet [9].

Mehr zu Coreboot bei heise online:

• Coreboot-Entwickler empfehlen TPM für sicheres Booten [10]
  

(ciw [11])

URL dieses Artikels:
https://www.heise.de/-4490578

Links in diesem Artikel:
[1] https://www.heise.de/news/UEFI-BIOS-Alternative-Intel-Slim-Bootloader-4166590.html
[2] https://www.heise.de/select/ct/2018/6/1520827829694087
[3] https://www.supermicro.com/products/accessories/addon/AOM-TPM-9665V.cfm
[4] https://osfc.io/talks/introducing-system-transparency
[5] https://www.heise.de/preisvergleich/supermicro-x11ssh-tf-retail-mbd-x11ssh-tf-o-a1355013.html?cs_id=1206858352&ccpid=hocid-ct
[6] https://review.coreboot.org/c/coreboot/+/32734/67
[7] https://www.heise.de/preisvergleich/intel-xeon-e3-1220-v6-bx80677e31220v6-a1558484.html?cs_id=1206858352&ccpid=hocid-ct
[8] https://www.heise.de/preisvergleich/intel-celeron-g3900-bx80662g3900-a1387263.html?cs_id=1206858352&ccpid=hocid-ct
[9] https://www.heise.de/select/ct/2016/5/1456985911041807
[10] https://www.heise.de/news/Coreboot-Entwickler-empfehlen-TPM-fuer-sicheres-Booten-2567279.html
[11] mailto:ciw@ct.de

Copyright © 2019 Heise Medien