[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: UEFI op servers, of niet?



Hallo Dennis en anderen,

Op 22-08-2023 om 10:45 schreef Dennis van Dok:
On 15-08-2023 12:13, Paul van der Vlis wrote:
Hallo,

Wat is jullie mening over UEFI?  Ik vind het nogal een complex gebeuren waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder veilig dan "legacy".

Niet per se, maar moderne systemen hebben steeds meer management aan boord die op zich weer een aanvalsvector kan vormen. Het beangstigendste daarbij is hoezeer deze verweven zijn met het systeem, onder het OS niveau. Dus aanvallen om private keys uit het geheugen te vissen zonder dat je dat in het OS in de gaten hebt bijvoorbeeld.

Inderdaad.

We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal over op EFI boot aangezien de nieuwere systemen legacy helemaal niet meer ondersteunen.

Daar heb ik nog geen last van bij servers, bij welke fabrikanten zie je dat?

Met netboot en grub-efi werkt bijna alles als voorheen, en ik zie de boot manager zelfs wel as een pre. Maar inderdaad is het vooral een kwestie van de kernel booten en dat is het.

Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-)

Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden.

Ik ken dit eigenlijk alleen van kleinere systemen om eerlijk te zijn, bijvoorbeeld van Dell. Maar qua 19" systemen gebruik ik Supermicro en dat doet nog niet mee. Dit is wat ik bedoel:
https://packages.debian.org/bullseye/fwupd
https://fwupd.org/

Hoewel $VENDOR1 een systeem biedt om dat te automatiseren gebruiken wij dat liever niet want dan zit je daaraan vast, terwijl we ook spullen van $VENDOR2 willen kunnen kopen en gebruiken.

Ik gebruik in de praktijk geen software van de fabrikant, het is allemaal Debian.

Het enige voorbeeld wat me te binnen schiet zijn de 'intelligente' lampen die je met een app kunt dimmen. Die deden het niet meer toen ik hun internettoegang uitschakelde.

Dat soort dingen heb ik graag lokaal geregeld ;-)

Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven zijn bespreekbaar), en het liefst ook op LVM of soortgelijk.

Wees dapper en die RAID0 all the way. (geintje). Volgens mij ondersteund de Debian installer dit wel. Als je een redelijke RAID kaart hebt kun je het beter aan de hardware overlaten, lijkt me.

Ik heb altijd met software RAID gewerkt en zie niet veel voordelen aan hardware RAID. Er zijn wel voordelen, maar ook nadelen.

Voordelen van software RAID vind ik:
- Het is heel generiek, een disk past zo in een andere machine zonder dat die ook zo'n kaart nodig heeft.
- De RAID kaart kan kapot gaan, je moet eigenlijk een spare hebben.
- Tools zijn vaak closed source, en complex.
- Volgens mij moet je bij hardware RAID rebooten als je een disk wilt vervangen. (En misschien zelfs wachten tijdens het rebuilden.)
- Je zit directer op de disk, er zit geen kaart tussen
- Reuze veel mogelijkheden

Nadelen van software RAID vind ik:
- Defecte disk verwisselen is iets lastiger
- Als de boot-disk defect is, wil het systeem soms niet meer booten zonder andere actie zoals het bios aanpassen of disks verwisselen - Inrichten (en wellicht bijhouden) is ingewikkelder, je moet bijvoorbeeld Grub twee keer installeren, en wellicht EFI kopieren. - Niet geschikt voor systemen met heel veel disks (in elk geval was dat vroeger zo).

Voor zover ik weet is het een niet echt sneller dan het ander, maar misschien vergis ik me daarin.

Als je veel systemen hebt met allemaal dezelfde hardware RAID, ziet het plaatje er misschien iets anders uit.

Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten, maar misschien dat het wel kan.  Wat ik in de praktijk doe is de partitie kopiëren naar de andere disk met dd.

De EFI partitie moet leesbaar zijn voor de firmware. Met hardware RAID is dat volgens mij geen probleem, maar het komt me voor dat de BIOS niet snapt wat een software raid partitie is.

Dat snappen ze inderdaad niet, maar ze kunnen het volgens mij wel gewoon lezen en booten. Dat doen ze dan van de individule disk, niet van de RAID.

Als ze erop schrijven (ik weet niet zeker of ze dat weleens doen), zullen ze ook op de disk schrijven en niet op de RAID.

Misschien is een los klein SSD'tje dan een idee? Een andere mogelijkheid is om op één schijf de EFI partitie te maken en op de andere dezelfde ruimte te benutten als swap ofzo. Dan houd je de geometrie op de resterende ruimte over voor software raid 1.

Mijn punt is dat dit een single point of failure is. Bij software RAID kan ik met IPMI in het bios de bootdisk wijzigen, en dan boot hij weer. Of fysiek de disks wisselen.

Dit is overigens wel complexer dan bij hardware RAID. Jammer dat er geen biossen zijn (voor zover ik weet) die dit netjes oplossen (zonder fakeraid).

Ik denk dat LVM het native ook kan maar dat heb ik nooit geprobeerd.


Ook grote disks kunnen ook zonder EFI, maar dan is er een BIOS BOOT partitie nodig. Ik weet niet goed of dat op RAID1 kan.

Nee om dezelfde reden als hierboven (tenzij hardware RAID).

Ik denk dat het wel kan, met dezelfde beperkingen als boven. Dus dat het bios geen RAID ziet, maar gewoon twee disken.

Ik zag overigens ook iemand die mdadm gebruikte op de hele schijf, dus niet op partities. Ik had problemen om in de rescue-mode van de debian-installer de RAID5 te maken (er was een disk defect). Wat vinden jullie van deze constructie?  Zal dit ook b.v. de boot-sector en partitie-tabel automatisch in de RAID opnemen?

We hebben voor storage systemen eigenlijk altijd een losse SSD voor het OS. Het klinkt als een nodeloos ingewikkelde constructie en vragen om moeilijkheden.

Het heeft geloof ik ook niet mijn voorkeur.

Groet,
Paul



--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/


Reply to: