Re: Grub und Wächterkarten; WSUS?
On Tue, Oct 05, 2010 at 12:41:58AM +0200, Erik Auerswald wrote:
> >On Mon, Oct 04, 2010 at 10:54:00PM +0200, Erik Auerswald wrote:
> >>On 10/04/2010 09:58 PM, Klaus Knopper wrote:
> >>>On Mon, Oct 04, 2010 at 05:22:37PM +0200, RalfGesellensetter wrote:
> >>>>es ist einmal wieder soweit:
> >>>>[...]
> >>>>Beim letzten Mal (vor 5 Jahren) mussten wir Lilo als Bootman
> >>>>nehmen, da Grub mit dem Konzept der Wächterkarten nicht
> >>>>klarkam. Dieses erwartet, dass der Bootloader in den
> >>>>MBR passt (1-2 Sektoren), so dass er gemeinsam mit der
> >>
> >>Der MBR besteht aus einem Sektor, klassisch[1] 512B.
> >
> >Wenn wir schon so genau sein müssen: 440 Bytes Bootloader, 64 Bytes
> >Partitionstabelle, der Rest dazwischen Signaturen und Füllbytes.
> >
> >>>>Partitionstabelle je nach Bootwahl ausgetauscht werden kann.
> >>>
> >>>Grub besteht üblicherweise aus einem MBR-Teil und einem aus dem
> >>>Dateisystem nachladbaren Teil.
> >>
> >>Das wäre dann ja kein Problem.
> >
> >Doch, weil der Wächter im Real Mode den Zugriff auf die höheren Sektoren verweigert.
>
> Dann hilft auch Lilo nicht.
Doch, weil das einen anderen Mechanismus als grub verwendet, um auf die spät
Doch. Ich versuche es mal so zu erklären, wie ich es mir vorstelle.
Den Bootloader lädt prinzipiell das BIOS vom MBR, das ist ein
Mini-Programm, das einfach szupide sektorenweise liest. Im MBR kanneren
Sektoren zuzugreifen, der offenbar nicht vom Wächter getrappt wird.
Ich finde die genaue Beschreibung nicht, aber wenn Du etwas Assembler
kannst, kannst Du es im Code nachlesen. Unter
http://www.xs4all.nl/~lennartb/bootloaders/node3.html sind ein paar
Interrupts beschrieben, mit denen Bootloader das BIOS ansprechen, um auf
die Festplatte zuzugreifen. Ich vermute, der PC-Wächter hängt sich in
Interrupt 13 rein, was der Bootloader eigentlich recht einfach
abschalten bzw. ungehen könnte.
> >>>>Gibt es da schon aktuellere Tricks mit Grub und Kaisers Wächtern?
> >>
> >>Wie wäre es mit der Verwendung des Windows Bootloaders? Dieser kann
> >>Linux via GRUB4DOS starten. Dabei liegt der GRUB4DOS komplett im
> >>Windows Dateisystem. Wächterkarten vertragen sich prinzipbedingt mit
> >>dem Windows Bootloader.
> >
> >Ob das stimmt, sei mal dahingestellt.
>
> Das musst Du näher erläutern. Die Wächter Karten sind zur Verwendung
> mit Windows ausgelegt. Dazu gehört der Windows Bootmechanismus.
Der PC-Wächter kann zwischen Windows und Linux gar nicht unterscheiden,
weil es sich nicht um eine intelligente Lebensform handelt. ;-)
Der ändert lediglich BIOS-Routinen. Sobald der Kernel in den protected
mode schaltet, ist der PC-Wächter deaktiviert. Schwierig wird es, wenn
z.B. durch kexec zurück in den real mode geschaltet wird, daher
empfiehlt es sich, den PC-Wächter auszubauen, wenn man mit LINBO direkt
in Windows/Linux hineinbooten möchte.
> Dazu gehören auch Windows Anwendungen.
Wie gesagt, der PC-Wächter kann weder "Windows Programme" starten, noch
erkennen. Das Ding ist einfach eine ziemlich unintelligente BIOS-Erweiterung.
> GRUB4DOS enthält eine Windows
> Anwendung[1] (grldr),
Das ist ein Executable im COM-Format, quasi ein DOS-Programm, das von
einigen Bootladern direkt, wie ein Kernel, verarbeitet werden kann. Es
ist kein "Windows-Programm".
> die einen Linux Kernel starten kann. Damit
> sind wir wesentlich näher am normalen Einsatz der Wächterkarte als
> mit anderen Bootloadern.
Wir verwenden in LINBO auch grub4dos, allerdings eher das grub.exe als
grldr, um per kexec Windows direkt aus Linux heraus zu booten.
> >Der "Windows Bootlader" (ntldr)
> >sieht in jeder Windows-Version auch wieder anders aus. Während man die
> >boot.ini-Datei früher mit einem Texteditor bearbeiten konnte, gibts in
> >"Windows 7" einen kommandozeilenbasierten Binäreditor. Da soll noch mal
> >jemand behaupten, es sei unter Linux kompliziert, Betriebssysteme ins
> >Bootmenü zu bringen.
>
> Grub 2 muss (soll ;-) man skripten, allein der Gedanke wird viele
> Anwender verschrecken. Ganz zu schweigen von den interessanten
> Ergebnissen des os-prober Gemurkses. ;-)
Das ist jetzt ein bisschen off-topic geworden. ;-)
> BTW Lilo bedient sich anders als Grub, Grub 2 ist wieder anders und
> die Syslinux/PXElinux/... Bootloader werden auch wieder ganz anders
> konfiguriert. Was macht es da, dass sich von XP zu Vista die
> Konfiguration des Windows Bootloaders verändert hat? Ich sehe da
> mehr Stabilität und eine konsequentere Linie. ;-)
Wo ist "da"?
> Windows 7 und Skolelinux sind im Zusammenspiel problematisch (Samba
> Version). Ich bin also stillschweigend von Windows XP ausgegangen.
Das hat aber mit dem PC-Wächter auch nichts zu tun, der kennt auch kein
Samba.
> GNU/Linux ganz ohne Windows finde ich viel besser. :-)
Na, da sind wir ja wieder auf einer Linie. :-)
Aber für die, die zu Windows gezwungen werden, sollte es trotzdem eine
Möglichkeit geben, beide Systeme parallel relativ schmerzfrei zu
betreiben, und der PC-Wächter schafft da leider mehr Probleme, als er
löst.
> >>>Die Debian-basierte Musterlösung Baden-Württemberg verwendet ebenfalls
> >>>schon seit vielen Jahren LINBO, womit zusätzliche Hardware nicht mehr
> >>>erforderlich ist, auch und gerade für Dualboot-Systeme.
> >>
> >>LINBO verträgt sich nicht mit Wächterkarten, es ist also
> >>erforderlich die zusätzliche Hardware zu entfernen, um LINBO
> >>einsetzen zu können. ;-)
> >
> >Das ergibt sich aus dem, was ich schrieb. Ich meinte ja auch LINBO
> >_anstelle_ der Wächterkarte. Spart ggf. auch Geld, und Stress mit
> >Schülern, die die Wächterkarte "versehentlich" umprogrammieren, so dass
> >der Rechner nicht mehr startet.
>
> Mit LINBO können die Schüler auch einigen Schabernack treiben.
Kommt auf die Konfiguration an; Man muss das "Komplett-Sync" nicht
unbedingt allen erlauben. Dafür gibts ja die Möglichkeit, die Buttons
entsprechend zu sperren oder freizuschalten.
> Mit
> einem Dual Boot System mit anwenderfreundlichem, modernem GNU/Linux
> auch - speziell bzgl. Windows. Kann man auch alles verhindern, wenn
> die Konfiguration stimmt.
Klar, ich habe lediglich versucht, einen Ersatz für den PC-Wächter
aufzuzeigen, mit dem man den Rechner recht schnell wieder in den
Grundzustand versetzen kann.
> Man kann die Rechner auch so sicher machen, das der Admin-Nachfolger
> mit einem Bolzenschneider das Gehäuseschloss öffnet, BIOS Batterie
> (und Wächterkarte) entfernt, mit einer Knoppix™ das Bootloader
> Passwort aushebelt und nebenbei noch ein neues Rootpasswort setzt.
> Alles schon erlebt. ;-) Zum Glück musste ich noch nicht erleben,
> dass TPM zur Verammelung des Rechners genutzt wurde…
Man kann auch mit einfacheren Tricks den Rechner außer Gefecht setzen,
aber ich glaube, darum gings in der originalen Fragestellung nicht.
>
> >>[1] Inzwischen gibt es Platten, die physisch und teils auch logisch
> >> größere Sektoren verwenden, i.d.R. 4096B.
> >>[2] Dies hat zu unerwarteten Konflikten mit Kopierschutzmechanismen
> >> verschiedener Windows Software und Grub 2 geführt, die beide den
> >> selben "unbenutzten" Festplattenbereich verwenden. (Grub 2 braucht
> >> dort mehr Raum als Grub.)
> >
> >Das spricht wohl mittelfristig auch für einen PXE-basierten Bootlader,
> >der gar nicht mehr auf der Platte liegt. Oder Lilo.
>
> Lilo macht keinen Spaß™. ;-) Im Ernst: Dass der Bootloader das
> Dateisystem lesen kann, ist ein großer Schritt vorwärts gegenüber
> Lilo. Die Grub Shell ist ein Bonus, der einem eine Menge Arbeit
> sparen kann.
Ich finde es von Vorteil, wenn ein Bootloader vollkommen
Dateisystemunabhängig ist. lilo funktioniert noch, wenn man die
Root-Partition mit mkfs frisch formatiert hat. Zumindest bis der Kernel
läuft, und kein init findet.
grub versagt manchmal schon, wenn das ext3 sich mal wieder zerlegt hat.
> Langfristig genügt ja vielleicht ein "Instant On" Betriebssystem mit
> Web Browser. Die bisherigen Ansätze sind GNU/Linux-basiert, also
> moralisch halbwegs vertretbar. Mittelfristig würde ich auf Windows
> verzichten (OK, _ich_ verzichte schon seit 15 Jahren auf Windows
> ;-). Ein PXE Bootloader, der die Platte in Ruhe lässt[2], kann
> kurzfristig manche Probleme in Dual Boot Szenarien umgehen.
Du plädierst hier für Android oder Chrome OS?
> Wenn man auch Windows benutzen will (oder "muss"), zahlt es sich oft
> aus, Probleme Windows-seitig anzugehen und GNU/Linux entsprechend
> anzupassen, GNU/Linux ist wesentlich verträglicher und
> anpassungsfähiger.
Das Problem ist hier aber ja gerade, dass PC-Wächter verhindern sollen,
dass das Windows dauernd kaputt geht. Dass dadurch neue Probleme mit
Dualboot & Co entstehen, ist ein Resultat der Monokultur.
> Ich empfehle Ralf jedenfalls, die Lösung mittels Windows Bootloader
> zu probieren. :-)
Windows benutzt den MBR nicht, sondern den Partitionsrecord der ersten
Partition (der sich innerhalb des vom PC-Wächter erlaubten Limits
befinden muss). Wobei es wieder Probleme geben könnte, wenn der
Windows-Bootloader im Real Mode versucht, auf die Linux-Partition, die
weiter hinten liegt, zuzugreifen.
> Weitere ketzerische Überlegung: GNU/Linux in virtueller Maschine
> unter Windows verwenden. Sieht im Fullscreen Modus aus wie das
> Original. ;-)
Oder umgekehrt. Wir haben auch schon oft über "virtual LINBO" meditiert:
Eine Bootkonsole mit integriertem kvm, die die Betriebssysteme einfach
in der Virtualisierung startet mit Durchreichen der Hardware des
Hostsystems, statt hineinzubooten.
> Kann mit Wächter Karte geschützt werden. Löst viele Treiberprobleme
> (WLAN, Smartboards), die sonst unter GNU/Linux auftreten können.
Nach meiner Erfahrung ist die Hardwareunterstützung von Linux aber
deutlich besser als unter Windows. Daher würde ich eher Windows in einer
vituellen Maschine unter Linux laufen lassen als umgekehrt.
Gruß
-Klaus
Reply to: