Re: 3 tb partitionieren
Am Donnerstag, 28. Mai 2015, 10:58:51 schrieb Sven Hartge:
> Dirk Finkeldey <dirk.finkeldey@ewetel.net> wrote:
> > Am 27.05.2015 18:50, schrieb Sven Hartge:
> >> Dirk Finkeldey<dirk.finkeldey@ewetel.net> wrote:
> >>> Als 2. Partition /boot 200 MB wenn du auch mal andere Kernel
> >>> ausprobieren möchtest - ext2 als ro eingebunden, zum update als root
> >>> rw remounten danach wieder ro
> >>
> >> Wozu? Wer braucht noch eine separates /boot außer denen, die eine
> >> Vollverschlüsselung betreiben?
> >
> > Separates /boot als ro eingebunden zum Schutz vor nicht gewünschten
> > Änderung.
>
> Schutz vor wem? root? Der kann das ummounten. Gehackter root? Der kann
> das auch ummounten. User? Der kann da eh nicht schreiben. Amok-laufendes
> Script? OK, kann ich akzeptieren. Kommt aber wie oft vor? Und steht in
> welchem Verhältnis zum Aufwand?
>
> Plus die Nervigkeit, die entstehen kann, wenn man /boot in der falschen
> Größe wählt. Ist es zu klein, passt plötzlich der neue Kernel nicht mehr
> hinein. Ist es zu groß, hat man Platz verschwendet.
Mir geht dieses ganze Boot-Schutz-Zeug so dermaßen auf den Keks. Secure
Boot, Intel Boot Guard usw.
Warum? Ich sehe im wesentlichen folgende Möglichkeiten, wie jemand eine
Malware auf mein System drauf bringen könnte:
1) Bei der Herstellung in der Firmware oder gar dem Hardware-Design.
2) Durch Ausnutzen einer Sicherheitslücke in proprietärer Firmware, so
enthält zum Beispiel das Intel AMT im BIOS in diesem ThinkPad T520 wohl
einen TCP/IP-Stack, der aber nun seit Jahren keine
Sicherheitsaktualisierungen mehr gesehen hat. Mit ein Grund, warum ich das
Zeug ausgeschaltet hab im BIOS.
3) Durch physikalischen Zugriff.
4) Durch eine Sicherheitslücke, ein Einfallstor in der Linux-Installation.
Das sind also entweder Dinge, die sich meiner Kontrolle entziehen, oder
Dinge, wo es, wenn es auftritt, eh schon zu spät ist: d.h. wenn jemand in
mein Linux einbricht, dann kann es mir gleich auch noch egal sein, ob die
Firmware angreifbar ist. Und wenn jemand physikalischen Zugriff hat? Dann ist
mir das mit der Firmware gleich 3x egal.
Viel wichtiger als dieser ganze Hardware-Müll, der da gemacht ist, finde ich,
das BIOS, die UEFI Firmware durch Coreboot zu ersetzen, um da den
proprietären Müll auch noch loszuwerden.
Ich hab dennoch ein separates /boot, weil ich immer wieder mal dachte: was
ist, denn GRUB mal ein neues LVM-Format im Linux Kernel oder ähnliches nicht
gleich unterstützt? Ich hab dem GRUB also nicht ganz über den Weg getraut.
Oder andererseits: Was ist, wenn ich mal den Bootloader tauschen möchte,
etwa weil mir GRUB 2 mit seinem Shell-Skript-Automatic-Foo und Ich-bin-
selbst-ein-Betriebssystem-Ansatz auf den Keks geht?
Also wollte ich die Voraussetzungen für das Booten niedrig halten, damit ich
diesbezüglich möglichst flexibel bin. Und sobald der Linux Kernel werkelt,
ist ja egal, wo die Daten liegen :)
Aber ja, so richtig wahrscheinlich ist das auch nicht, dass der Fall mal
auftritt. Möglicherweise hat mein nächstes Laptop dann kein separates /boot
mehr. Andererseits sehe ich auch keine echten Nachteile damit.
So oder so hätte ich statt diesem BIOS/UEFI-Gerümpel lieber gleich ein
Coreboot, was bei einem ThinkPad T520 wohl mittlerweile, wenn auch mit
Einschränkungen, möglich ist.
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Reply to: