Re: Grub und Wächterkarten; WSUS?
Guten Morgen,
On Tue, Oct 05, 2010 at 03:35:44AM +0200, Klaus Knopper wrote:
> On Tue, Oct 05, 2010 at 12:41:58AM +0200, Erik Auerswald wrote:
> > >On Mon, Oct 04, 2010 at 10:54:00PM +0200, Erik Auerswald wrote:
> > >>On 10/04/2010 09:58 PM, Klaus Knopper wrote:
> > >>>On Mon, Oct 04, 2010 at 05:22:37PM +0200, RalfGesellensetter wrote:
> > >>>>es ist einmal wieder soweit:
> > >>>>[...]
> > >>>>nehmen, da Grub mit dem Konzept der Wächterkarten nicht
> >
> > Dann hilft auch Lilo nicht.
>
> Doch, weil das einen anderen Mechanismus als grub verwendet, um auf die spät
> Doch. Ich versuche es mal so zu erklären, wie ich es mir vorstelle.
Hier befinden wir uns im Reich der Spekulation, da keiner von uns im
Code nachlesen will, um die Details herauszufinden. Die "Real Mode" vs.
"Protected Mode" Unterscheidung hilft uns auch nicht, da offenbar Lilo
und Grub im Real Mode laufen.
> > >>>>Gibt es da schon aktuellere Tricks mit Grub und Kaisers Wächtern?
> > >>
> > >>Wie wäre es mit der Verwendung des Windows Bootloaders? Dieser kann
> > >>Linux via GRUB4DOS starten. Dabei liegt der GRUB4DOS komplett im
> > >>Windows Dateisystem. Wächterkarten vertragen sich prinzipbedingt mit
> > >>dem Windows Bootloader.
> > >
> > >Ob das stimmt, sei mal dahingestellt.
> >
> > Das musst Du näher erläutern. Die Wächter Karten sind zur Verwendung
> > mit Windows ausgelegt. Dazu gehört der Windows Bootmechanismus.
>
> Der PC-Wächter kann zwischen Windows und Linux gar nicht unterscheiden,
> weil es sich nicht um eine intelligente Lebensform handelt. ;-)
Die Karte braucht das ja nicht zu unterscheiden, nur die Entwickler und
Tester. ;-)
> Wie gesagt, der PC-Wächter kann weder "Windows Programme" starten, noch
> erkennen.
Das braucht er ja auch nicht. Und dennoch gehen Entwickler und Anwender
davon aus, trotz Wächter Karte Windows benutzen zu können.
> Das Ding ist einfach eine ziemlich unintelligente BIOS-Erweiterung.
Selbst Windows geht am BIOS vorbei. Ist die Wächter Karte wirklich
nur ein zusätzlicher BIOS Anti Virus Schutz[1]? Dann würde man
durch den Einsatz wirklich gar nichts gewinnen - ein Sieg der
Marketingabteilung. ;-)
Unter Windows werden wohl Treiber bzw. eine Softwarelösung die
Wächterfunktion ermöglichen. Insofern könnte eine reine Softwarelösung
und ein entsprechend konfiguriertes BIOS die Wächter Karte komplett
ersetzen.
> Das ist jetzt ein bisschen off-topic geworden. ;-)
Nicht erst jetzt. ;-)
> Aber für die, die zu Windows gezwungen werden, sollte es trotzdem eine
> Möglichkeit geben, beide Systeme parallel relativ schmerzfrei zu
> betreiben, und der PC-Wächter schafft da leider mehr Probleme, als er
> löst.
Aus GNU/Linux Sicht löst der Wächter keine Probleme, er schafft
nur welche. Aus Windows Sicht soll er Probleme lösen.
> Man kann auch mit einfacheren Tricks den Rechner außer Gefecht setzen,
> aber ich glaube, darum gings in der originalen Fragestellung nicht.
Der ganze Wächterkarten Einsatz zielt darauf ab, unauthorisierte
Änderungen zu verhindern, also den Rechner gezielt zu verkrüppeln. Das
Ergebnis (nicht der Wächter Karte allein, sondern des gesamten Ansatzes)
ist des öfteren ein schwer wieder in Stand zu setzendes System.
> > Lilo macht keinen Spaß™. ;-) Im Ernst: Dass der Bootloader das
> > Dateisystem lesen kann, ist ein großer Schritt vorwärts gegenüber
> > Lilo. Die Grub Shell ist ein Bonus, der einem eine Menge Arbeit
> > sparen kann.
>
> Ich finde es von Vorteil, wenn ein Bootloader vollkommen
> Dateisystemunabhängig ist. lilo funktioniert noch, wenn man die
> Root-Partition mit mkfs frisch formatiert hat. Zumindest bis der Kernel
> läuft, und kein init findet.
Ergebnis: Kein Boot möglich. Toller Vorteil. Es genügt, den Kernel zu
ersetzen, ohne Lilo neu in den Bootsektor zu schreiben, um nicht mehr
booten zu können.[2]
> grub versagt manchmal schon, wenn das ext3 sich mal wieder zerlegt hat.
"Mal wieder" hört sich so an, als käme das öfter vor. Was ich nicht
bestätigen kann.
> > Langfristig genügt ja vielleicht ein "Instant On" Betriebssystem mit
> > Web Browser. Die bisherigen Ansätze sind GNU/Linux-basiert, also
> > moralisch halbwegs vertretbar.
>
> Du plädierst hier für Android oder Chrome OS?
Ubuntu und MeeGo werden heutzutage als Basis für Instant On Systeme
verwendet. Android oder Chrome OS könnten auch verwendet werden, bisher
hat Google daran aber kein Interesse gezeigt.
Ich für mich hoffe ja mehr auf den Fall-Out, also einen freien Web
Browser, der alle Web Inhalte anzeigen kann. Ich möchte eine Freies
Betriebssystem auf meinem Rechner haben und bevorzuge auch die Kontrolle
über meine Daten selbst auszuüben (anstelle eines Cloud Anbieters).
Die Computer Nutzung in der Schule könnte von dem Web Modell profitieren.
Plattformen wie lo-net² oder moodle auf dem rheinland-pfälzischen
Bildungsserver zeigen dies. Software wie GeoGebra setzt auch auf die
Web Plattform.
> > Ich empfehle Ralf jedenfalls, die Lösung mittels Windows Bootloader
> > zu probieren. :-)
>
> Windows benutzt den MBR nicht, sondern den Partitionsrecord der ersten
> Partition (der sich innerhalb des vom PC-Wächter erlaubten Limits
> befinden muss). Wobei es wieder Probleme geben könnte, wenn der
> Windows-Bootloader im Real Mode versucht, auf die Linux-Partition, die
> weiter hinten liegt, zuzugreifen.
Man lege den Linux Kernel im Windows Dateisystem ab. Dann versucht erst
der Linux Kernel, auf die andere Partition zuzugreifen. Allerdings habe
ich keinen Windows PC und keine Wächter Karte, um das alles zu testen.
> > Kann mit Wächter Karte geschützt werden. Löst viele Treiberprobleme
> > (WLAN, Smartboards), die sonst unter GNU/Linux auftreten können.
>
> Nach meiner Erfahrung ist die Hardwareunterstützung von Linux aber
> deutlich besser als unter Windows. Daher würde ich eher Windows in einer
> vituellen Maschine unter Linux laufen lassen als umgekehrt.
Huch? Gerade im Bereich WLAN, Grafik und Smartboards (generisch gemeint)
ist die Hardwareunterstützung von Linux mehr schlecht als recht. Die
Lage verbessert sich (s. neue Broadcom WLAN Treiber), ist aber noch
lange nicht unproblematisch (s. vor allem nVidia Grafikkarten).
Ich bevorzuge natürlich auch Linux KVM als Virtualisierungslösung. Ein
virtuelles Windows kann Ersatz für eine Dual Boot Lösung sein. Die
Wächter Karte würde unnötig, weil die Virtualisierung (Snapshots)
die Funktion übernimmt. Ob so alles klappt, was man sich vom Einsatz
von Windows verspricht, steht auf einem anderen Blatt.
Ich denke, wir haben eine Reihe von Ansätzen aufgezeigt, wie man
die Wächter Karte vielleicht weiter nutzen kann oder die gewünschte
Funktionalität ohne diese Hardware erhält.
Die Schnittmenge aus GNU/Linux und PC-Wächter Anwendern dürfte relativ
klein sein. Es wäre schön, wenn jemand daraus testet, was klappt und
was nicht und dies veröffentlicht (Mailingliste, Skolelinux.de Wiki).
Gruß,
Erik
[1] In einer Zeit, als Viren noch in Bootsektoren passten und ohne
Webbrowser liefen, wurde ein BIOS Feature eingeführt, um auf einen
unveränderten Master Boot Record zu testen.
[2] Dateisystemunabhängig ist eine Verletzung des Schichtenmodells, das
dem Dateizugriff zugrundeliegt. Lilo nimmt an, dass eine Datei immer an
der selben Stelle auf der Platte liegt. Ein Dateisystem nimmt an, dass
es Dateien beliebig auf der Platte verteilen kann. Meist gibt das keine
Probleme, weil es ineffizient ist, Daten grundlos durch die Gegend zu
schieben. Bei SSDs passiert aber genau das: Aufgrund der Größe der
Erase Blocks werden Dateien, die sich nicht verändert haben, an eine
andere Position verschoben. Ganz normale Nutzung des Rechners sabotiert
die von Lilo verwendete Bootvariante.
--
Dipl.-Inform. Erik Auerswald http://www.fg-networking.de/
auerswald@fg-networking.de Tel: +49-631-4149988-0 Fax: +49-631-4149988-9
Gesellschaft für Fundamental Generic Networking mbH
Geschäftsführung: Volker Bauer, Jörg Mayer
Gerichtsstand: Amtsgericht Kaiserslautern - HRB: 3630
Reply to: