Re: UEFI op servers, of niet?
On Tue, Aug 22, 2023 at 10:45:10AM +0200, Dennis van Dok wrote:
> On 15-08-2023 12:13, Paul van der Vlis wrote:
> > Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de
> > fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-)
>
> Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden.
> Hoewel $VENDOR1 een systeem biedt om dat te automatiseren gebruiken wij dat
> liever niet want dan zit je daaraan vast, terwijl we ook spullen van
> $VENDOR2 willen kunnen kopen en gebruiken.
>
> Het enige voorbeeld wat me te binnen schiet zijn de 'intelligente' lampen
> die je met een app kunt dimmen. Die deden het niet meer toen ik hun
> internettoegang uitschakelde.
Dit is even iets heel anders, maar:
Als je een standaard "smart" lamp oid koopt, dan is de kans heel groot
dat je inderdaad Internettoegang nodig hebt om het te kunnen gebruiken.
Rommel. Gelukkig is dat niet het geval met alle fabrikanten.
https://www.home-assistant.io/integrations/shelly/
Smart switches en smart bulbs van het merk "shelly" werken *standaard*
met een Internet-verbinding, maar alle generaties van dat merk kunnen
geconfigureerd worden om dat niet te doen. Je kan dan met iets als
home-assistant (echte aanrader trouwens, dat ding) lokaal alles
aansturen, zonder Internet-verbinding (hoewel dat ook mogelijk is,
optioneel, als je dat wilt).
Producten op https://shelly.cloud/; ik ga eind volgende maand (of begin
Oktober, afhankelijk van hoe lang het duurt voor de bestelling er is) een resem
van die dingen thuis installeren.
--
w@uter.{be,co.za}
wouter@{grep.be,fosdem.org,debian.org}
I will have a Tin-Actinium-Potassium mixture, thanks.
Re: UEFI op servers, of niet?
On Thu, Aug 17, 2023 at 10:21:38AM +0200, Paul van der Vlis wrote:
> > > vind ik niet prettig.
> >
> > Als je dat die "auto firmware update by firmware" kunt aantonen,
> > ga dan ingesprek met je leverancier.
> Het is een "feature" van UEFI.
Niet echt.
UEFI heeft een standaard manier om firmware-updates te distribueren. Ze
dan ook installeren heeft wat meer nodig:
wouter@pc220518:~$ efibootmgr
BootCurrent: 0008
Timeout: 5 seconds
BootOrder: 0008,0001,0002,0003,
Boot* Linux Firmware Updater
Boot0001* ONBOARD NIC (IPV4)
Boot0002* ONBOARD NIC (IPV6)
Boot0003* UEFI HTTPs Boot
Boot0008* debian
"Boot0008" is Debian. Dat start normaal op.
"Boot" is de "Linux Firmware Updater". Dat is een component van
fwupd, /boot/efi/EFI/debian/fwupdx64.efi.
Daarnaast ben ik persoonlijk ook heel blij met /boot/efi/EFI/Dell/logs
-- als mijn firmware problemen vindt met de hardware, dan komt dat daar
mooi te staan.
> De firmware updated niet de firmware, dat
> doet bijvoorbeeld: https://packages.debian.org/bullseye/fwupd
> Dit wordt standaard geïnstalleerd door Debian volgens mij.
> De leverancier stopt het in: https://fwupd.org/
>
> > De betere leverancier is ook al eerder aanspreekbaar.
>
> Dit heeft niet zoveel met de leverancier te maken, ik vind het goed dat ze
> de firmware uploaden. Ik vind dat het alleen nogal automatisch gebeurd
> allemaal.
Het gnome-firmware pakket wordt inderdaad standaard geïnstalleerd op een
desktop-machine, en die zal ook standaard popups tonen als er een update
is voor je firmware met een simpele "Installeer deze update" knop waar
je makkelijk op kunt klikken.
Als je gnome-firmware (of equivalente dingen) niet installeert, dan heb
je dat niet, en dan moet je het manueel doen. Daarvoor kan je dingen
doen als "fwupdmgr get-updates" (denk "apt-get update"), "fwupdmgr
update" (om ze te installeren), "fwupdmgr verify" (controleren dat je
firmware correct geïnstalleerd is), en zelfs "fwupdmgr downgrade"
(hoewel dat in sommige gevallen niet ondersteund is). Het lijkt me dat
dat iets is wat je op een server wel zou prefereren, dan.
> Vroeger was het motto: "vervang firmware alleen als er een
> probleem is".
Sommige problemen zijn niet meteen zichtbaar, maar dat maakt ze niet
minder problematisch. Firmware-updates kunnen security issues fixen
(spectre/meltdown en dergelijke, maar ook gelijkaardige problemen in
chipsets), kunnen performantie-problemen oplossen, en nog veel meer.
Maar als je dat niet wilt, dan laat "fwupdmgr inhibit" je toe om alle
automatische updates te verbieden.
Of je kan fwupd ook van je systeem verwijderen, natuurlijk.
[...]
--
w@uter.{be,co.za}
wouter@{grep.be,fosdem.org,debian.org}
I will have a Tin-Actinium-Potassium mixture, thanks.
Re: UEFI op servers, of niet?
On Tue, Aug 15, 2023 at 12:13:54PM +0200, Paul van der Vlis wrote:
> Hallo,
>
> Wat is jullie mening over UEFI? Ik vind het nogal een complex gebeuren
> waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder veilig
> dan "legacy".
Dat lijkt me net het omgekeerde. UEFI laat toe om signed boots te
ondersteunen; BIOS niet.
(Je kan natuurlijk argumenteren dat je geen signed boot wilt want
"Microsoft", maar het principe is an sich wel zinvol en geeft je een
veiliger systeem)
> Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de
> fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-)
Wat is daar mis mee?
Via lvfs en fwupd heb ik al een aantal buggy systemen kunnen updaten.
Helaas is nog niet alles op die manier beschikbaar.
> Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven zijn
> bespreekbaar), en het liefst ook op LVM of soortgelijk.
Persoonlijk grote fan van ZFS, wat de twee een beetje combineert.
Lastig owv licenties, maar het is allemaal vrije software, dus ik lig er
niet zo wakker van.
> Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten, maar
> misschien dat het wel kan. Wat ik in de praktijk doe is de partitie
> kopiëren naar de andere disk met dd.
Denk niet dat dat mogelijk is, maar je kan het wel uitproberen? Als het
niet werkt is het snel en eenvoudig op te lossen met een rescue disk...
Je kan eventueel wel een scriptje toevoegen aan /etc/grub.d wat de EFI
partitie van je eerste schijf kopiëert naar de tweede schijf (op
filesystem-niveau of met dd). Dan is je systeem altijd in sync na de
meest recente "update-grub".
> Ook grote disks kunnen ook zonder EFI, maar dan is er een BIOS BOOT partitie
> nodig. Ik weet niet goed of dat op RAID1 kan.
Dat is zeker geen probleem. Heb het in het verleden al gedaan.
> Ik zag overigens ook iemand die mdadm gebruikte op de hele schijf, dus niet
> op partities. Ik had problemen om in de rescue-mode van de debian-installer
> de RAID5 te maken (er was een disk defect). Wat vinden jullie van deze
> constructie? Zal dit ook b.v. de boot-sector en partitie-tabel automatisch
> in de RAID opnemen?
Neen. Zo'n constructie werkt alleen met BIOS boot, en alleen met Linux.
Je moet dan je MBR volledig bootable maken, en er voor zorgen dat je
boot loader je partities kan lezen (i.e., geen RAID5).
Ben niet van mening dat het een goed idee is.
--
w@uter.{be,co.za}
wouter@{grep.be,fosdem.org,debian.org}
I will have a Tin-Actinium-Potassium mixture, thanks.
Re: UEFI op servers, of niet?
Op 22-08-2023 om 23:01 schreef Paul van der Vlis: Oh ja, ook om te checken of er een voeding is. Ik bedoelde: om te checken of er een voeding defect is. De computers die ik gebruik hebben een dubbele voeding, als er eentje defect is moet je dat wel weten om hem te kunnen vervangen. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: UEFI op servers, of niet?
Hoi Dennis, en anderen natuurlijk, Op 22-08-2023 om 12:22 schreef Dennis van Dok: On 22-08-2023 11:54, Paul van der Vlis wrote: Hallo Dennis en anderen, Op 22-08-2023 om 10:45 schreef Dennis van Dok: On 15-08-2023 12:13, Paul van der Vlis wrote: We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal over op EFI boot aangezien de nieuwere systemen legacy helemaal niet meer ondersteunen. Daar heb ik nog geen last van bij servers, bij welke fabrikanten zie je dat? IIRC Dell en Lenovo, in combinatie met ondersteuning voor PXE boot en grote NVMe drives. Hebben ze dan helemaal geen "legacy" meer? Of wordt dat steeds beperkter? Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden. Ik ken dit eigenlijk alleen van kleinere systemen om eerlijk te zijn, bijvoorbeeld van Dell. Maar qua 19" systemen gebruik ik Supermicro en dat doet nog niet mee. Dit is wat ik bedoel: https://packages.debian.org/bullseye/fwupd https://fwupd.org/ Ik ga daar nog wel eens naar kijken want het lijkt me toch wel handig om te automatiseren (als dat kan). En natuurlijk altijd met de Bewuste Keuze™ welke updates je doorvoert! Het punt is dat het nogal automatisch gaat, ik heb het nog niet helemaal onder controle. Dit komt ook omdat de hardware die ikzelf gebruik het niet ondersteund. Ik gebruik in de praktijk geen software van de fabrikant, het is allemaal Debian. DELL heeft racadm en dat werkt nog vrij aardig standalone, maar we stappen meer en meer over op redfish. Dat kende ik nog niet, ik vond hier wel wat informatie: https://en.wikipedia.org/wiki/Redfish_(specification) Maar helemaal duidelijk is het me nog niet wat het doet. Ik gebruik IPMI en serial-over-lan: https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface Maar daar staat: "The successor to the IPMI is Redfish" Dus wellicht moet ik er wel naar gaan kijken. Zijn er OSS tools voor om bijvoorbeeld het bootproces en de bios remote te bekijken? Dat is eigenlijk het enige waar ik het voor gebruik. Oh ja, ook om te checken of er een voeding is. Ik heb altijd met software RAID gewerkt en zie niet veel voordelen aan hardware RAID. Er zijn wel voordelen, maar ook nadelen. Voordelen van software RAID vind ik: - Het is heel generiek, een disk past zo in een andere machine zonder dat die ook zo'n kaart nodig heeft. Doe je dat dan vaak, schijven uitwisselen tussen apparaten? Nee, maar het is toch wel belangrijk als nood-scenario, en om te migreren naar nieuwe hardware. Er zou maar een moederbord kapot gaan, dat is me weleens gebeurd. Ik zet er dan een andere machine neer, en zet de disks over. Ik heb reserve machines (oudere machines die het nog doen). - De RAID kaart kan kapot gaan, je moet eigenlijk een spare hebben. Dit is nou een van de componenten die ik zelden tot nooit heb zien falen. Toch is mij altijd geleerd dat je zo'n kaart op voorraad moet hebben, anders kun je je disks niet meer lezen, ook niet met een andere machine. Wellicht hebben jullie vele machines met dezelfde RAID kaarten, dan speelt dat minder. - Tools zijn vaak closed source, en complex. We configgen die meuk direct vanuit het BIOS (of laten dat vooraf doen door de leverancier) of anders is het Megaraid storcli (ja, beetje ingewikkeld wel). Je moet het toch monitoren, je wilt weten dat er een disk kapot is. En ik wil met opensource software werken. Dat geheel maakt het wel lastig. - Volgens mij moet je bij hardware RAID rebooten als je een disk wilt vervangen. (En misschien zelfs wachten tijdens het rebuilden.) Al onze storage systemen doen hot-swapping dus misschien moet je een ander merk uitkiezen? Misschien is het inderdaad simpel. Ik heb ooit ergens een disk verwisseld waar het toch een gedoe was. Maar weinig ervaring met hardware raid eigenlijk. - Je zit directer op de disk, er zit geen kaart tussen En wat is daarvan nou het specifieke voordeel? Ik stel het me zo voor dat als je bijvoorbeeld SMART tools gebruikt, je niet direct bij de disk kunt. - Reuze veel mogelijkheden Ben ook benieuwd! https://raid.wiki.kernel.org/index.php/A_guide_to_mdadm Kun jij bijvoorbeeld disks vervangen door grotere, de partities en het filesystemen vergroten, terwijl alles gewoon doordraait? Ik wel. Nadelen van software RAID vind ik: - Niet geschikt voor systemen met heel veel disks (in elk geval was dat vroeger zo). Ik weet dat we ook wel eens een wat grotere software raid setup hebben gedraaid (in de speeltuin) en dat werkte ook prima. Het had te maken met het feit dat het meer dataverkeer gaf op de PCI bus, want elke disk moest apart worden aangestuurd. En bij hardware RAID moest alleen de RAID kaart worden aangestuurd. Maar dit kan ondertussen alweer anders zijn. Voor zover ik weet is het een niet echt sneller dan het ander, maar misschien vergis ik me daarin. Nee, dat zal ook niet het argument zijn. Er zijn trouwens behoorlijke kwaliteitsverschillen
Re: UEFI op servers, of niet?
On 22-08-2023 11:54, Paul van der Vlis wrote: Hallo Dennis en anderen, Op 22-08-2023 om 10:45 schreef Dennis van Dok: On 15-08-2023 12:13, Paul van der Vlis wrote: We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal over op EFI boot aangezien de nieuwere systemen legacy helemaal niet meer ondersteunen. Daar heb ik nog geen last van bij servers, bij welke fabrikanten zie je dat? IIRC Dell en Lenovo, in combinatie met ondersteuning voor PXE boot en grote NVMe drives. Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden. Ik ken dit eigenlijk alleen van kleinere systemen om eerlijk te zijn, bijvoorbeeld van Dell. Maar qua 19" systemen gebruik ik Supermicro en dat doet nog niet mee. Dit is wat ik bedoel: https://packages.debian.org/bullseye/fwupd https://fwupd.org/ Ik ga daar nog wel eens naar kijken want het lijkt me toch wel handig om te automatiseren (als dat kan). En natuurlijk altijd met de Bewuste Keuze™ welke updates je doorvoert! Ik gebruik in de praktijk geen software van de fabrikant, het is allemaal Debian. DELL heeft racadm en dat werkt nog vrij aardig standalone, maar we stappen meer en meer over op redfish. Ik heb altijd met software RAID gewerkt en zie niet veel voordelen aan hardware RAID. Er zijn wel voordelen, maar ook nadelen. Voordelen van software RAID vind ik: - Het is heel generiek, een disk past zo in een andere machine zonder dat die ook zo'n kaart nodig heeft. Doe je dat dan vaak, schijven uitwisselen tussen apparaten? - De RAID kaart kan kapot gaan, je moet eigenlijk een spare hebben. Dit is nou een van de componenten die ik zelden tot nooit heb zien falen. - Tools zijn vaak closed source, en complex. We configgen die meuk direct vanuit het BIOS (of laten dat vooraf doen door de leverancier) of anders is het Megaraid storcli (ja, beetje ingewikkeld wel). - Volgens mij moet je bij hardware RAID rebooten als je een disk wilt vervangen. (En misschien zelfs wachten tijdens het rebuilden.) Al onze storage systemen doen hot-swapping dus misschien moet je een ander merk uitkiezen? - Je zit directer op de disk, er zit geen kaart tussen En wat is daarvan nou het specifieke voordeel? - Reuze veel mogelijkheden Ben ook benieuwd! Nadelen van software RAID vind ik: - Niet geschikt voor systemen met heel veel disks (in elk geval was dat vroeger zo). Ik weet dat we ook wel eens een wat grotere software raid setup hebben gedraaid (in de speeltuin) en dat werkte ook prima. Voor zover ik weet is het een niet echt sneller dan het ander, maar misschien vergis ik me daarin. Nee, dat zal ook niet het argument zijn. Er zijn trouwens behoorlijke kwaliteitsverschillen in hardware raid. De EFI partitie moet leesbaar zijn voor de firmware. Met hardware RAID is dat volgens mij geen probleem, maar het komt me voor dat de BIOS niet snapt wat een software raid partitie is. Dat snappen ze inderdaad niet, maar ze kunnen het volgens mij wel gewoon lezen en booten. Dat doen ze dan van de individule disk, niet van de RAID. Ja, legacy boot van een bootsector zal wel gaan denk ik. En misschien is een moderne grub ook al software raid aware? Als ze erop schrijven (ik weet niet zeker of ze dat weleens doen), zullen ze ook op de disk schrijven en niet op de RAID. Dat zouden ze nooit moeten doen! Misschien is een los klein SSD'tje dan een idee? Een andere mogelijkheid is om op één schijf de EFI partitie te maken en op de andere dezelfde ruimte te benutten als swap ofzo. Dan houd je de geometrie op de resterende ruimte over voor software raid 1. Mijn punt is dat dit een single point of failure is. Bij software RAID kan ik met IPMI in het bios de bootdisk wijzigen, en dan boot hij weer. Of fysiek de disks wisselen. De vraag is of je gaat voor data security (dus hoe belangrijk vind je het dat je geen data verliest) of voor uptime (hoe belangrijk is het om beschikbaar te zijn). Voor beide kun je plannen maar het prijskaartje wordt natuurlijk ook steeds hoger.
Re: UEFI op servers, of niet?
Hallo Dennis en anderen, Op 22-08-2023 om 10:45 schreef Dennis van Dok: On 15-08-2023 12:13, Paul van der Vlis wrote: Hallo, Wat is jullie mening over UEFI? Ik vind het nogal een complex gebeuren waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder veilig dan "legacy". Niet per se, maar moderne systemen hebben steeds meer management aan boord die op zich weer een aanvalsvector kan vormen. Het beangstigendste daarbij is hoezeer deze verweven zijn met het systeem, onder het OS niveau. Dus aanvallen om private keys uit het geheugen te vissen zonder dat je dat in het OS in de gaten hebt bijvoorbeeld. Inderdaad. We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal over op EFI boot aangezien de nieuwere systemen legacy helemaal niet meer ondersteunen. Daar heb ik nog geen last van bij servers, bij welke fabrikanten zie je dat? Met netboot en grub-efi werkt bijna alles als voorheen, en ik zie de boot manager zelfs wel as een pre. Maar inderdaad is het vooral een kwestie van de kernel booten en dat is het. Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-) Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden. Ik ken dit eigenlijk alleen van kleinere systemen om eerlijk te zijn, bijvoorbeeld van Dell. Maar qua 19" systemen gebruik ik Supermicro en dat doet nog niet mee. Dit is wat ik bedoel: https://packages.debian.org/bullseye/fwupd https://fwupd.org/ Hoewel $VENDOR1 een systeem biedt om dat te automatiseren gebruiken wij dat liever niet want dan zit je daaraan vast, terwijl we ook spullen van $VENDOR2 willen kunnen kopen en gebruiken. Ik gebruik in de praktijk geen software van de fabrikant, het is allemaal Debian. Het enige voorbeeld wat me te binnen schiet zijn de 'intelligente' lampen die je met een app kunt dimmen. Die deden het niet meer toen ik hun internettoegang uitschakelde. Dat soort dingen heb ik graag lokaal geregeld ;-) Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven zijn bespreekbaar), en het liefst ook op LVM of soortgelijk. Wees dapper en die RAID0 all the way. (geintje). Volgens mij ondersteund de Debian installer dit wel. Als je een redelijke RAID kaart hebt kun je het beter aan de hardware overlaten, lijkt me. Ik heb altijd met software RAID gewerkt en zie niet veel voordelen aan hardware RAID. Er zijn wel voordelen, maar ook nadelen. Voordelen van software RAID vind ik: - Het is heel generiek, een disk past zo in een andere machine zonder dat die ook zo'n kaart nodig heeft. - De RAID kaart kan kapot gaan, je moet eigenlijk een spare hebben. - Tools zijn vaak closed source, en complex. - Volgens mij moet je bij hardware RAID rebooten als je een disk wilt vervangen. (En misschien zelfs wachten tijdens het rebuilden.) - Je zit directer op de disk, er zit geen kaart tussen - Reuze veel mogelijkheden Nadelen van software RAID vind ik: - Defecte disk verwisselen is iets lastiger - Als de boot-disk defect is, wil het systeem soms niet meer booten zonder andere actie zoals het bios aanpassen of disks verwisselen - Inrichten (en wellicht bijhouden) is ingewikkelder, je moet bijvoorbeeld Grub twee keer installeren, en wellicht EFI kopieren. - Niet geschikt voor systemen met heel veel disks (in elk geval was dat vroeger zo). Voor zover ik weet is het een niet echt sneller dan het ander, maar misschien vergis ik me daarin. Als je veel systemen hebt met allemaal dezelfde hardware RAID, ziet het plaatje er misschien iets anders uit. Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten, maar misschien dat het wel kan. Wat ik in de praktijk doe is de partitie kopiëren naar de andere disk met dd. De EFI partitie moet leesbaar zijn voor de firmware. Met hardware RAID is dat volgens mij geen probleem, maar het komt me voor dat de BIOS niet snapt wat een software raid partitie is. Dat snappen ze inderdaad niet, maar ze kunnen het volgens mij wel gewoon lezen en booten. Dat doen ze dan van de individule disk, niet van de RAID. Als ze erop schrijven (ik weet niet zeker of ze dat weleens doen), zullen ze ook op de disk schrijven en niet op de RAID. Misschien is een los klein SSD'tje dan een idee? Een andere mogelijkheid is om op één schijf de EFI partitie te maken en op de andere dezelfde ruimte te benutten als swap ofzo. Dan houd je de geometrie op de resterende ruimte over voor software raid 1. Mijn punt is dat dit een single point of failure is. Bij software RAID kan ik met IPMI in het bios de bootdisk wijzigen, en dan boot hij weer. Of fysiek de disks wisselen. Dit is overigens wel complexer dan bij hardware RAID. Jammer dat er geen biossen zijn (voor zover ik weet) die dit netjes oplossen (zonder fakeraid). Ik denk dat LVM het native ook kan maar dat heb ik nooit geprobeerd. Ook grote disks kunnen ook zonder EFI, maar dan is er een
Re: UEFI op servers, of niet?
On 15-08-2023 12:13, Paul van der Vlis wrote: Hallo, Wat is jullie mening over UEFI? Ik vind het nogal een complex gebeuren waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder veilig dan "legacy". Niet per se, maar moderne systemen hebben steeds meer management aan boord die op zich weer een aanvalsvector kan vormen. Het beangstigendste daarbij is hoezeer deze verweven zijn met het systeem, onder het OS niveau. Dus aanvallen om private keys uit het geheugen te vissen zonder dat je dat in het OS in de gaten hebt bijvoorbeeld. We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal over op EFI boot aangezien de nieuwere systemen legacy helemaal niet meer ondersteunen. Met netboot en grub-efi werkt bijna alles als voorheen, en ik zie de boot manager zelfs wel as een pre. Maar inderdaad is het vooral een kwestie van de kernel booten en dat is het. Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-) Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden. Hoewel $VENDOR1 een systeem biedt om dat te automatiseren gebruiken wij dat liever niet want dan zit je daaraan vast, terwijl we ook spullen van $VENDOR2 willen kunnen kopen en gebruiken. Het enige voorbeeld wat me te binnen schiet zijn de 'intelligente' lampen die je met een app kunt dimmen. Die deden het niet meer toen ik hun internettoegang uitschakelde. Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven zijn bespreekbaar), en het liefst ook op LVM of soortgelijk. Wees dapper en die RAID0 all the way. (geintje). Volgens mij ondersteund de Debian installer dit wel. Als je een redelijke RAID kaart hebt kun je het beter aan de hardware overlaten, lijkt me. Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten, maar misschien dat het wel kan. Wat ik in de praktijk doe is de partitie kopiëren naar de andere disk met dd. De EFI partitie moet leesbaar zijn voor de firmware. Met hardware RAID is dat volgens mij geen probleem, maar het komt me voor dat de BIOS niet snapt wat een software raid partitie is. Misschien is een los klein SSD'tje dan een idee? Een andere mogelijkheid is om op één schijf de EFI partitie te maken en op de andere dezelfde ruimte te benutten als swap ofzo. Dan houd je de geometrie op de resterende ruimte over voor software raid 1. Ik denk dat LVM het native ook kan maar dat heb ik nooit geprobeerd. Ook grote disks kunnen ook zonder EFI, maar dan is er een BIOS BOOT partitie nodig. Ik weet niet goed of dat op RAID1 kan. Nee om dezelfde reden als hierboven (tenzij hardware RAID). Ik zag overigens ook iemand die mdadm gebruikte op de hele schijf, dus niet op partities. Ik had problemen om in de rescue-mode van de debian-installer de RAID5 te maken (er was een disk defect). Wat vinden jullie van deze constructie? Zal dit ook b.v. de boot-sector en partitie-tabel automatisch in de RAID opnemen? We hebben voor storage systemen eigenlijk altijd een losse SSD voor het OS. Het klinkt als een nodeloos ingewikkelde constructie en vragen om moeilijkheden. Dennis
Re: UEFI op servers, of niet?
Hallo Geert en anderen, Op 16-08-2023 om 22:26 schreef Geert Stappers: On Tue, Aug 15, 2023 at 12:13:54PM +0200, Paul van der Vlis wrote: Hallo, Wat is jullie mening over UEFI? Het is vooral een "bootloader" Ik gebruik GRUB als bootloader, maar wellicht is dit een wat vaag begrip. Ik geloof dat UEFI ook een Linux kernel kan laden, maar dit weet ik niet precies. Dit komt van Wikipedia: UEFI is a specification that defines the architecture of the platform firmware used for booting and its interface for interaction with the operating system. Ik vind het nogal een complex gebeuren waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder veilig dan "legacy". Ik vind belangrijk dat een bootloader bootloader-dingen doet. En ook niet veel meer dan dat. UEFI is volgens mij bijna een operating system. GRUB overigens ook. Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de fabrikant Nog niet mee gemaakt. Niet elke fabrikant doet er aan mee. vind ik niet prettig. Als je dat die "auto firmware update by firmware" kunt aantonen, ga dan ingesprek met je leverancier. Het is een "feature" van UEFI. De firmware updated niet de firmware, dat doet bijvoorbeeld: https://packages.debian.org/bullseye/fwupd Dit wordt standaard geïnstalleerd door Debian volgens mij. De leverancier stopt het in: https://fwupd.org/ De betere leverancier is ook al eerder aanspreekbaar. Dit heeft niet zoveel met de leverancier te maken, ik vind het goed dat ze de firmware uploaden. Ik vind dat het alleen nogal automatisch gebeurd allemaal. Vroeger was het motto: "vervang firmware alleen als er een probleem is". Een vriendin zei ooit: "alles wat in software kan, kan ook in hardware. Hardware is alleen wat minder flexibel". Die updates zorgen voor meer flexibele hardware, waar ik niet perse voor ben. Want veelal draait er in de praktijk closed source firmware op, die steeds belangrijker wordt. Maar dit is vast uit te zetten ;-) Read the fine manual ;-) Inderdaad, nu ja, soms staat die "f" ook weleens voor wat anders... Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: UEFI op servers, of niet?
On Tue, Aug 15, 2023 at 12:13:54PM +0200, Paul van der Vlis wrote: > Hallo, > > Wat is jullie mening over UEFI? Het is vooral een "bootloader" > Ik vind het nogal een complex gebeuren waarbij aardig wat dingen mee > mis kunnen gaan. En wellicht ook minder veilig dan "legacy". Ik vind belangrijk dat een bootloader bootloader-dingen doet. En ook niet veel meer dan dat. > Het feit dat er vrij automatisch firmware > wordt geïnstalleerd van de fabrikant Nog niet mee gemaakt. > vind ik niet prettig. Als je dat die "auto firmware update by firmware" kunt aantonen, ga dan ingesprek met je leverancier. De betere leverancier is ook al eerder aanspreekbaar. > Maar dit is vast uit te zetten ;-) Read the fine manual ;-) Groeten Geert Stappers -- Silence is hard to parse
