Re: UEFI op servers, of niet?

[Dennis van Dok <dennisvd@nikhef.nl>]

On 15-08-2023 12:13, Paul van der Vlis wrote:
> Hallo,
>
> Wat is jullie mening over UEFI?  Ik vind het nogal een complex gebeuren 
> waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder 
> veilig dan "legacy".

Niet per se, maar moderne systemen hebben steeds meer management aan 
boord die op zich weer een aanvalsvector kan vormen. Het beangstigendste 
daarbij is hoezeer deze verweven zijn met het systeem, onder het OS 
niveau. Dus aanvallen om private keys uit het geheugen te vissen zonder 
dat je dat in het OS in de gaten hebt bijvoorbeeld.

We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal 
over op EFI boot aangezien de nieuwere systemen legacy helemaal niet 
meer ondersteunen. Met netboot en grub-efi werkt bijna alles als 
voorheen, en ik zie de boot manager zelfs wel as een pre. Maar inderdaad 
is het vooral een kwestie van de kernel booten en dat is het.
> Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de 
> fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-)

Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden. 
Hoewel $VENDOR1 een systeem biedt om dat te automatiseren gebruiken wij 
dat liever niet want dan zit je daaraan vast, terwijl we ook spullen van 
$VENDOR2 willen kunnen kopen en gebruiken.

Het enige voorbeeld wat me te binnen schiet zijn de 'intelligente' 
lampen die je met een app kunt dimmen. Die deden het niet meer toen ik 
hun internettoegang uitschakelde.

> Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven zijn 
> bespreekbaar), en het liefst ook op LVM of soortgelijk.

Wees dapper en die RAID0 all the way. (geintje). Volgens mij ondersteund 
de Debian installer dit wel. Als je een redelijke RAID kaart hebt kun je 
het beter aan de hardware overlaten, lijkt me.

> Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten, 
> maar misschien dat het wel kan.  Wat ik in de praktijk doe is de 
> partitie kopiëren naar de andere disk met dd.

De EFI partitie moet leesbaar zijn voor de firmware. Met hardware RAID 
is dat volgens mij geen probleem, maar het komt me voor dat de BIOS niet 
snapt wat een software raid partitie is. Misschien is een los klein 
SSD'tje dan een idee? Een andere mogelijkheid is om op één schijf de EFI 
partitie te maken en op de andere dezelfde ruimte te benutten als swap 
ofzo. Dan houd je de geometrie op de resterende ruimte over voor 
software raid 1.

Ik denk dat LVM het native ook kan maar dat heb ik nooit geprobeerd.


> Ook grote disks kunnen ook zonder EFI, maar dan is er een BIOS BOOT 
> partitie nodig. Ik weet niet goed of dat op RAID1 kan.

Nee om dezelfde reden als hierboven (tenzij hardware RAID).

> Ik zag overigens ook iemand die mdadm gebruikte op de hele schijf, dus 
> niet op partities. Ik had problemen om in de rescue-mode van de 
> debian-installer de RAID5 te maken (er was een disk defect). Wat vinden 
> jullie van deze constructie?  Zal dit ook b.v. de boot-sector en 
> partitie-tabel automatisch in de RAID opnemen?

We hebben voor storage systemen eigenlijk altijd een losse SSD voor het 
OS. Het klinkt als een nodeloos ingewikkelde constructie en vragen om 
moeilijkheden.

Dennis