Re: UEFI op servers, of niet?
Hallo Dennis en anderen,
Op 22-08-2023 om 10:45 schreef Dennis van Dok:
On 15-08-2023 12:13, Paul van der Vlis wrote:
Hallo,
Wat is jullie mening over UEFI? Ik vind het nogal een complex
gebeuren waarbij aardig wat dingen mee mis kunnen gaan. En wellicht
ook minder veilig dan "legacy".
Niet per se, maar moderne systemen hebben steeds meer management aan
boord die op zich weer een aanvalsvector kan vormen. Het beangstigendste
daarbij is hoezeer deze verweven zijn met het systeem, onder het OS
niveau. Dus aanvallen om private keys uit het geheugen te vissen zonder
dat je dat in het OS in de gaten hebt bijvoorbeeld.
Inderdaad.
We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal
over op EFI boot aangezien de nieuwere systemen legacy helemaal niet
meer ondersteunen.
Daar heb ik nog geen last van bij servers, bij welke fabrikanten zie je dat?
Met netboot en grub-efi werkt bijna alles als
voorheen, en ik zie de boot manager zelfs wel as een pre. Maar inderdaad
is het vooral een kwestie van de kernel booten en dat is het.
Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de
fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-)
Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden.
Ik ken dit eigenlijk alleen van kleinere systemen om eerlijk te zijn,
bijvoorbeeld van Dell. Maar qua 19" systemen gebruik ik Supermicro en
dat doet nog niet mee. Dit is wat ik bedoel:
https://packages.debian.org/bullseye/fwupd
https://fwupd.org/
Hoewel $VENDOR1 een systeem biedt om dat te automatiseren gebruiken wij
dat liever niet want dan zit je daaraan vast, terwijl we ook spullen van
$VENDOR2 willen kunnen kopen en gebruiken.
Ik gebruik in de praktijk geen software van de fabrikant, het is
allemaal Debian.
Het enige voorbeeld wat me te binnen schiet zijn de 'intelligente'
lampen die je met een app kunt dimmen. Die deden het niet meer toen ik
hun internettoegang uitschakelde.
Dat soort dingen heb ik graag lokaal geregeld ;-)
Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven
zijn bespreekbaar), en het liefst ook op LVM of soortgelijk.
Wees dapper en die RAID0 all the way. (geintje). Volgens mij ondersteund
de Debian installer dit wel. Als je een redelijke RAID kaart hebt kun je
het beter aan de hardware overlaten, lijkt me.
Ik heb altijd met software RAID gewerkt en zie niet veel voordelen aan
hardware RAID. Er zijn wel voordelen, maar ook nadelen.
Voordelen van software RAID vind ik:
- Het is heel generiek, een disk past zo in een andere machine zonder
dat die ook zo'n kaart nodig heeft.
- De RAID kaart kan kapot gaan, je moet eigenlijk een spare hebben.
- Tools zijn vaak closed source, en complex.
- Volgens mij moet je bij hardware RAID rebooten als je een disk wilt
vervangen. (En misschien zelfs wachten tijdens het rebuilden.)
- Je zit directer op de disk, er zit geen kaart tussen
- Reuze veel mogelijkheden
Nadelen van software RAID vind ik:
- Defecte disk verwisselen is iets lastiger
- Als de boot-disk defect is, wil het systeem soms niet meer booten
zonder andere actie zoals het bios aanpassen of disks verwisselen
- Inrichten (en wellicht bijhouden) is ingewikkelder, je moet
bijvoorbeeld Grub twee keer installeren, en wellicht EFI kopieren.
- Niet geschikt voor systemen met heel veel disks (in elk geval was dat
vroeger zo).
Voor zover ik weet is het een niet echt sneller dan het ander, maar
misschien vergis ik me daarin.
Als je veel systemen hebt met allemaal dezelfde hardware RAID, ziet het
plaatje er misschien iets anders uit.
Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten,
maar misschien dat het wel kan. Wat ik in de praktijk doe is de
partitie kopiëren naar de andere disk met dd.
De EFI partitie moet leesbaar zijn voor de firmware. Met hardware RAID
is dat volgens mij geen probleem, maar het komt me voor dat de BIOS niet
snapt wat een software raid partitie is.
Dat snappen ze inderdaad niet, maar ze kunnen het volgens mij wel gewoon
lezen en booten. Dat doen ze dan van de individule disk, niet van de RAID.
Als ze erop schrijven (ik weet niet zeker of ze dat weleens doen),
zullen ze ook op de disk schrijven en niet op de RAID.
Misschien is een los klein
SSD'tje dan een idee? Een andere mogelijkheid is om op één schijf de EFI
partitie te maken en op de andere dezelfde ruimte te benutten als swap
ofzo. Dan houd je de geometrie op de resterende ruimte over voor
software raid 1.
Mijn punt is dat dit een single point of failure is. Bij software RAID
kan ik met IPMI in het bios de bootdisk wijzigen, en dan boot hij weer.
Of fysiek de disks wisselen.
Dit is overigens wel complexer dan bij hardware RAID. Jammer dat er geen
biossen zijn (voor zover ik weet) die dit netjes oplossen (zonder fakeraid).
Ik denk dat LVM het native ook kan maar dat heb ik nooit geprobeerd.
Ook grote disks kunnen ook zonder EFI, maar dan is er een BIOS BOOT
partitie nodig. Ik weet niet goed of dat op RAID1 kan.
Nee om dezelfde reden als hierboven (tenzij hardware RAID).
Ik denk dat het wel kan, met dezelfde beperkingen als boven. Dus dat het
bios geen RAID ziet, maar gewoon twee disken.
Ik zag overigens ook iemand die mdadm gebruikte op de hele schijf, dus
niet op partities. Ik had problemen om in de rescue-mode van de
debian-installer de RAID5 te maken (er was een disk defect). Wat
vinden jullie van deze constructie? Zal dit ook b.v. de boot-sector
en partitie-tabel automatisch in de RAID opnemen?
We hebben voor storage systemen eigenlijk altijd een losse SSD voor het
OS. Het klinkt als een nodeloos ingewikkelde constructie en vragen om
moeilijkheden.
Het heeft geloof ik ook niet mijn voorkeur.
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Reply to: