Гайд: Ошибка Legacy OpROM mode not supported в ПАК «Соболь»: руководство по устранению

Гайд по ошибке Legacy OpROM mode not supported в ПАК «Соболь»: диагностика, настройка UEFI, миграция с Legacy, требования ФСТЭК и безопасность загрузки

Гайд: Ошибка Legacy OpROM mode not supported в ПАК «Соболь»: руководство по устранению Ошибка Legacy OpROM mode not supported встречается в современных системах с UEFI-прошивками, а в случае с ПАК «Соболь» она проявляется особенно строго из-за требований информационной безопасности и сертификации. Ниже приведён подробный технический гайд по диагностике и устранению данной ошибки с учётом специфики российских защищённых ПАК.

1. Что означает ошибка

Legacy OpROM mode not supported (или Legacy Option ROM not supported) означает, что загрузчик UEFI отказывается выполнять код опционных ПЗУ (Option ROM) устройств в 16-битном режиме совместимости (Legacy/Real Mode). Такие ROM используются старыми контроллерами (сетевыми, RAID, видео) для инициализации до загрузки ОС.

В ПАК «Соболь» эта ошибка возникает, когда:

Включён режим загрузки Legacy/CSM, но прошивка явно запрещает выполнение Legacy OpROM;
Устройство (PCIe-карта, сетевой адаптер, RAID-контроллер) не предоставляет UEFI-драйвер;
Политика безопасной загрузки (Secure Boot / ФСТЭК-совместимый режим) блокирует неподписанные или 16-битные модули.

2. Почему ошибка критична именно для ПАК «Соболь»

ПАК «Соболь» разрабатывается в соответствии с требованиями ФСТЭК России и ФСБ для обеспечения:

Контроля целостности загрузочного пути;
Защиты от rootkit-атак на этапе POST;
Соответствия ГОСТ Р 57580.1, СТО БР ИББС и другим нормативам.

По умолчанию в прошивках ПАК:

Отключён CSM Support
Запрещён Legacy OpROM Execution
Разрешены только UEFI Driver Model (64-бит)
Включён Secure Boot с доверенными сертификатами

Попытка загрузки Legacy-устройств или старых ОС (MBR, BIOS-boot) вызывает фатальную остановку с указанной ошибкой.

3. Подготовка к устранению

Перед изменением настроек выполните:

Резервное копирование текущих параметров UEFI через утилиту ПАК или nvram-дампы.
Уточните версию прошивки ПАК «Соболь» (команда в CLI: sobol-fw version или через веб-интерфейс).

3. Проверьте совместимость оборудования:

Все PCIe-карты должны поддерживать UEFI (в спецификации указано UEFI 2.x+ или Option ROM: EFI);
ОС должна быть установлена в режиме UEFI (GPT, раздел EFI System Partition).
1. Убедитесь в наличии прав на изменение политик загрузки (требует роли admin или security_officer).

4. Пошаговое решение

Сценарий 1: Полная миграция на UEFI (рекомендуется)

Этот подход сохраняет сертификацию ПАК и соответствует лучшим практикам ИБ.
1. Обновите прошивки всех контроллеров до версий с поддержкой UEFI OpROM.

2. Установите ОС в режиме UEFI:

Разметка диска: GPT
Загрузчик: grub-efi, systemd-boot или аналог
Отключите Legacy Boot в BIOS/UEFI
1. В настройках ПАК «Соболь» убедитесь, что активен профиль UEFI Only / Secure Mode.
2. Перезагрузите систему. Ошибка должна исчезнуть.

Сценарий 2: Временное включение Legacy OpROM (только при наличии согласования)

Внимание:

Включение Legacy-режима может привести к нарушению сертификационных требований ПАК. Используйте только в тестовых контурах или при наличии письменного согласования от ответственного за ИБ.
1. Войдите в UEFI Setup (через консоль ПАК или клавишу F2/Del при POST).

2. Перейдите в раздел:

Boot → CSM Configuration → Option ROM Execution Policy

3. Измените параметры:

Network OpROM → UEFI and Legacy (или Legacy Only)
Storage OpROM → UEFI and Legacy
Video OpROM → UEFI and Legacy
1. Включите CSM Support (если доступно).
2. Сохраните (F10), перезагрузите.

Альтернатива через CLI ПАК «Соболь»:

sobol-policy set boot.legacy_oprom=enabled --scope=global
sobol-policy apply
reboot

(Точные команды могут отличаться в зависимости от версии ПАК. Сверьтесь с документацией вендора.)

Сценарий 3: PXE / Сетевая загрузка

Если ошибка возникает при загрузке по сети:

Убедитесь, что сетевой адаптер поддерживает UEFI PXE.
В BIOS включите IPv4 PXE UEFI (не Legacy PXE).
На DHCP-сервере настройте опцию 60 (PXEClient:Arch:00007) для UEFI.
В TFTP разместите bootx64.efi вместо pxelinux.0.

5. Проверка результата

После перезагрузки выполните:

# Проверка режима загрузки
[ -d /sys/firmware/efi ] && echo "UEFI" || echo "Legacy"

# Список загрузочных записей
efibootmgr -v

# Статус Secure Boot
mokutil --sb-state

# Логи ядра на наличие OpROM-ошибок
journalctl -b | grep -i oprom

Ожидается:

Загрузка в режиме UEFI
Отсутствие сообщений Legacy OpROM в dmesg
Активный Secure Boot (если требуется политикой)

6. Безопасность и соответствие требованиям

Действие	Влияние на сертификацию	Рекомендация
Отключение Legacy OpROM	Сохраняет соответствие ФСТЭК	Обязательно в продуктивной среде
Включение CSM/Legacy	Может потребовать пересертификации	Только в тестовых контурах
Использование неподписанных UEFI-драйверов	Нарушает Secure Boot	Загружать через MOK или отключать SB временно

7. Если ошибка сохраняется

Обновите прошивку ПАК до последней стабильной версии (часто содержат исправления OpROM-политик).
Проверьте совместимость PCIe-карт через lspci -v → ищите строки UEFI или Option ROM.

3. Соберите диагностические данные:

   dmidecode -t 0,9,13
   efibootmgr -v
   journalctl -b -u sobol-*

4. Обратитесь в техподдержку вендора ПАК «Соболь» с указанием:

Версии прошивки и CLI
Модели сервера/материнской платы
Список PCIe-устройств
Логи POST и dmesg

Заключение

Ошибка Legacy OpROM mode not supported в ПАК «Соболь» является штатным механизмом защиты загрузочного пути. В 95% случаев корректным решением является переход на полностью UEFI-стек с подписанными драйверами. Включение Legacy-режима допустимо только при наличии организационного согласования и понимании рисков для информационной безопасности.

Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.