Re: UEFI op servers, of niet?
On 15-08-2023 12:13, Paul van der Vlis wrote:
Hallo,
Wat is jullie mening over UEFI? Ik vind het nogal een complex gebeuren
waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder
veilig dan "legacy".
Niet per se, maar moderne systemen hebben steeds meer management aan
boord die op zich weer een aanvalsvector kan vormen. Het beangstigendste
daarbij is hoezeer deze verweven zijn met het systeem, onder het OS
niveau. Dus aanvallen om private keys uit het geheugen te vissen zonder
dat je dat in het OS in de gaten hebt bijvoorbeeld.
We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal
over op EFI boot aangezien de nieuwere systemen legacy helemaal niet
meer ondersteunen. Met netboot en grub-efi werkt bijna alles als
voorheen, en ik zie de boot manager zelfs wel as een pre. Maar inderdaad
is het vooral een kwestie van de kernel booten en dat is het.
Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de
fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-)
Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden.
Hoewel $VENDOR1 een systeem biedt om dat te automatiseren gebruiken wij
dat liever niet want dan zit je daaraan vast, terwijl we ook spullen van
$VENDOR2 willen kunnen kopen en gebruiken.
Het enige voorbeeld wat me te binnen schiet zijn de 'intelligente'
lampen die je met een app kunt dimmen. Die deden het niet meer toen ik
hun internettoegang uitschakelde.
Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven zijn
bespreekbaar), en het liefst ook op LVM of soortgelijk.
Wees dapper en die RAID0 all the way. (geintje). Volgens mij ondersteund
de Debian installer dit wel. Als je een redelijke RAID kaart hebt kun je
het beter aan de hardware overlaten, lijkt me.
Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten,
maar misschien dat het wel kan. Wat ik in de praktijk doe is de
partitie kopiëren naar de andere disk met dd.
De EFI partitie moet leesbaar zijn voor de firmware. Met hardware RAID
is dat volgens mij geen probleem, maar het komt me voor dat de BIOS niet
snapt wat een software raid partitie is. Misschien is een los klein
SSD'tje dan een idee? Een andere mogelijkheid is om op één schijf de EFI
partitie te maken en op de andere dezelfde ruimte te benutten als swap
ofzo. Dan houd je de geometrie op de resterende ruimte over voor
software raid 1.
Ik denk dat LVM het native ook kan maar dat heb ik nooit geprobeerd.
Ook grote disks kunnen ook zonder EFI, maar dan is er een BIOS BOOT
partitie nodig. Ik weet niet goed of dat op RAID1 kan.
Nee om dezelfde reden als hierboven (tenzij hardware RAID).
Ik zag overigens ook iemand die mdadm gebruikte op de hele schijf, dus
niet op partities. Ik had problemen om in de rescue-mode van de
debian-installer de RAID5 te maken (er was een disk defect). Wat vinden
jullie van deze constructie? Zal dit ook b.v. de boot-sector en
partitie-tabel automatisch in de RAID opnemen?
We hebben voor storage systemen eigenlijk altijd een losse SSD voor het
OS. Het klinkt als een nodeloos ingewikkelde constructie en vragen om
moeilijkheden.
Dennis
Reply to: