Happy_Penguin
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
Hallo allerseits, ist es möglich, eine gemeinsame Partition als /boot für zwei unterschiedliche Ubuntu-Systeme (z.B. 10.10 und 11.04) zu nutzen ?
Voraussetzung dafür wäre ja, daß es bei den Kerneln etc. keine Überschneidungen gibt (also z.b. Kernel x.y.z für Ubuntu 10.10 keinen anderen Inhalt hat als der namensgleiche Kernel x.y.z für 11.04, bzw. erst gar keine Namensgleichheit auftritt). Oder anders gefragt: Ist der Kernelname immer eindeutig und versionsunabhängig ? (So würde ich es vermuten, kenne mich aber in Sachen Kernel nicht aus und frage daher sicherheitshalber lieber mal ... *blush*) In /boot/grub läge dann eine grub.config, die beide Systeme starten kann (und evtl. weitere live- oder nicht-Linux-Systeme). Könnte man auch /home gemeinsam nutzen, oder kommt es da wegen der unterschiedlichen Programmversionen zu Problemen mit den einheitlichen Konfigurationsdateien ? Hintergrund:
/boot wird bei mir wegen Vollverschlüsselung des Rests eine eigene Partition Ich habe gerne (mindestens 😉) zwei Systeme parallel, insbesondere wenn ich einen Versionswechsel durchführe. Dann ist das alte System auf jeden Fall weiter lauf- und ich arbeitsfähig.
Vielen Dank im voraus für Eure Hilfe.
☺
|
leonidas666
Anmeldungsdatum: 10. April 2008
Beiträge: 421
|
Ich könnte mir schon gut vorstellen, dass die Kernelnamen eindeutig sind, d.h. theoretisch könnte es tatsächlich machbar sein, mit nur einer einzigen /boot-Partition auszukommen. Andererseits: Wenn dein Ziel eigentlich eine Trennung der System ist (damit auch bei Änderungen mindestens eins läuffähig bleibt), wäre das meiner Meinung nach eher ungeschickt. Gerade bei so was wichtigem wie /boot, wo sich ein Problem direkt in ein unbootbares System niederschlagen kann. Wahrscheinlich müsstest du in jedem Fall immer irgendwo noch händisch nacharbeiten, weil das in den Automatismen einfach nicht vorgesehen ist. Das mit dem /home sehe ich da weniger kritisch. Wenns gar nicht geht, kannst du für das andere System (das aber mit eben dem gleichen /home arbeitet) einfach einen zusätzlichen Nutzer anlegen.
|
Lidux
Anmeldungsdatum: 18. April 2007
Beiträge: 15900
|
Hallo Happy Penguin, Home würde ich unbedingt trennen, jedenfalls gibt es reichlich Threads dazu. Gruss Lidux
|
Happy_Penguin
(Themenstarter)
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
Hallo leonidas666, hallo Lidux, danke für Eure Antworten. Dann werde ich sicherheitshalber sowohl /boot als auch das verschlüsselte /home für jede Version getrennt halten, braucht ja beides eigentlich nicht viel Platz. Blöd ist nur, daß ich dann die grub-Konfigurationen immer parallel pflegen muß - naja, einmal ein gemeinsames grub.cfg erstellen und dann nach Kernelupdates immer brav auf die andere /boot-Partition kopieren ist auch nicht so arg viel Aufwand. 😉 Meine Daten kann ich dann ja immer noch in einer einzigen separaten verschlüsselten Partition ablegen und z.B. als /home/Daten einbinden. So hätte ich dann die versionsspezifischen Konfigurationsdateien im versionsspezifischen /home und alles andere nur einmal. 😉 Die Live-Systeme bekommen dann eben eine weitere unverschlüsselte eigene Partition spendiert, da ich sie von der verschlüsselten /home/Daten-Partition aus ja nicht booten kann und sie nicht wirklich nur zu einem /boot gehören. Klingt das soweit richtig ?
☺
|
Happy_Penguin
(Themenstarter)
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
***OOPS*** Beim nochmaligen Durchlesen meines postings ist mir aufgefallen, daß das so natürlich nicht funktioniert - der MBR zeigt ja immer nur auf eine einzige Partition. Also wird es wohl letztlich so aussehen müssen: eine unverschlüsselte Partition für Grub, die unter /boot/grub im jeweiligen System eingebunden wird und alle Einträge enthält für jedes System ein unverschlüsseltes /boot, in dem die entsprechenden kernels etc. liegen für jedes System ein verschlüsseltes /home für die versionsspezifischen Konfigurationsdateien und eine verschlüsselte versionsspezifische /root-Partition eine verschlüsselte versionsunabhängige Datenpartition, die jeweils unter /home/Daten eingebunden wird eine unverschlüsselte versionsunabhängige Partition, um live-Systeme als ISO abzulegen und via Grub zu booten und natürlich - der Vollständigkeit halber - ein verschlüsseltes versionsunabhängiges swap
Gut, daß es eine manuelle Konfiguration während der Installation gibt ... ich muß nur den Überblick behalten ... 😉 Falls ich noch was vergessen haben sollte, oder einen Denkfehler gemacht, oder es einfacher geht: Laßt es mich bitte wissen. Besser jetzt, als daß ich es nach der Installation merke. 😉
|
versuchshase
Anmeldungsdatum: 31. Oktober 2009
Beiträge: 377
|
Hallo Happy Penguin, da bist Du wohl etwas schlimm verwirrt worden?
Happy Penguin schrieb:
... ... Falls ich noch was vergessen haben sollte, oder einen Denkfehler gemacht, oder es einfacher geht: Laßt es mich bitte wissen. Besser jetzt, als daß ich es nach der Installation merke. 😉
Das mit der getrennten Partition für /boot/grub würde ich von Hause aus bleiben lassen. Wer sagt dir das beide Versionen jetzt und in Zukunft eine Identische Grub-Version verwenden? Die dort abgelegten Module müssen exakt zur installierten Grub-Version passen. Am einfachsten installierst Du Grub bei einer Installation in den MBR und bei der anderen nach /boot, dann mußt Du nach einem Kernel-Update des Systems dessen Urlader auf der jeweiligen /boot-Partition ist nur die Konfiguration auf der anderen /boot-Partition anpassen um das neue Kernel zu laden. Für den Notfall könntest Du die 2. Partition dann auch nochmal per chainloader einbinden, um deren Bootloader zu nutzen. Allerdings bin ich mir nicht sicher ob Grub auch eine zweite Grub-Installation starten kann. Das mit der verschlüsselten swap-Partition ist Quatsch, natürlich könnten sensible Daten aus dem RAM auch ausgelagert werden, die Zuordnung das z.B. die Bytes 12 bis 27 einen Schlüssel enthalten ist allerdings schwer möglich, da die Informationen zur Speicherverwaltung, d.h. welcher Bereich im RAM an welche Stelle auf der Festplatte ausgelagert wurde, immer im echten RAM liegen. Gruß, versuchshase
|
Happy_Penguin
(Themenstarter)
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
Hallo Versuchshase ! versuchshase schrieb: da bist Du wohl etwas schlimm verwirrt worden?
Na, ich hoffe, zu schlimm und dauerhaft ist die Verwirrung nicht.
😉
Wer sagt dir das beide Versionen jetzt und in Zukunft eine Identische Grub-Version verwenden?
Sehr guter Hinweis, vielen Dank.
Am einfachsten installierst Du Grub bei einer Installation in den MBR und bei der anderen nach /boot,
Der Symmetrie wegen werde ich es dann vermutlich weiterhin so machen, daß ich einen völlig von den installierten OS unabhängigen "Master"-Grub in MBR und eine separate Partition installiere und von dort aus beide Systeme boote. Dann kommt der jeweilige "systemspezifische" Grub der einzelnen Installation in deren /root-Partition, so daß ich sehe, wie unter der jeweiligen Version die Einträge aussehen. Wenn ein kernel-update notwendig wird, muß ich dann "nur" den entsprechenden Eintrag im "Master"-grub.cfg anpassen. (Jedenfalls so lange, bis chainloading mit grub2 auf einer Partition statt im MBR endlich funktioniert.) Und bei neuer Grub-Version eben den "Master"-Grub auch mal aktualisieren. Vorteil: Der Master wird durch automatische updates erstmal nicht berührt, also insbesondere auch nicht "zerschossen".
Das mit der verschlüsselten swap-Partition ist Quatsch, natürlich könnten sensible Daten aus dem RAM auch ausgelagert werden, die Zuordnung das z.B. die Bytes 12 bis 27 einen Schlüssel enthalten ist allerdings schwer möglich, da die Informationen zur Speicherverwaltung, d.h. welcher Bereich im RAM an welche Stelle auf der Festplatte ausgelagert wurde, immer im echten RAM liegen.
Ich habe mich da am Wiki orientiert, in den Artikeln wird explizit auch swap verschlüsselt. Vielleicht getreu dem Motto "Schadet nichts und doppelt genäht hält besser ... " ? 😉
|
versuchshase
Anmeldungsdatum: 31. Oktober 2009
Beiträge: 377
|
Hallo Happy Penguin, das klingt nach einiger Handarbeit bei jeder Aktualisierung des Kernels bzw. der Ramdisk, Grub ist allerdings per Script Programmierbar. Zu Befehlssatz und Syntax bin ich aber noch nicht vorgedrungen. Das verschlüsseln der swap-Partition ist übrigens auch ein Problem der Rechenleistung, da die jeweiligen Speicherbereiche in Echtzeit ver- bzw. entschlüsselt werden müssen. Falls dein Prozessor noch freie Ressourcen hat, nur zu, schad ja nix ist aber nur die halbe Wahrheit. Gruß,versuchshase
|
Happy_Penguin
(Themenstarter)
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
Hallo Versuchshase ! versuchshase schrieb: das klingt nach einiger Handarbeit bei jeder Aktualisierung des Kernels bzw. der Ramdisk,
Hält sich glücklicherweise in Grenzen. Solange sich die Syntax von Grub und damit grub.cfg nicht ändert (wie jetzt offenbar gerade beim Wechsel auf 1.99rc1), reicht es ja, die aktuellen kernel-Einträge von /boot/grub/grub.cfg (laufendes aktualisiertes System) in die grub.cfg auf der Partition des "Master"-Grub zu kopieren.
Grub ist allerdings per Script Programmierbar.
So sagt man ... 😉
Zu Befehlssatz und Syntax bin ich aber noch nicht vorgedrungen.
Geht mir genauso. Wenn ich irgendwann genug Zeit habe, schaue ich mir auch das mal an, scheint ja recht vielseitig und gelungen, soweit ich das auf den ersten Blick beurteilen konnte. Booten von loop-devices / ISO gefällt mir z.B. sehr gut. ☺
Das verschlüsseln der swap-Partition ist übrigens auch ein Problem der Rechenleistung
Klar.
da die jeweiligen Speicherbereiche in Echtzeit ver- bzw. entschlüsselt werden müssen.
Ich muß mir eh mal anschauen, wieviel überhaupt noch geswappt wird. Heutzutage hat man ja normalerweise eher etwas mehr RAM.
Falls dein Prozessor noch freie Ressourcen hat, nur zu
Vermutlich hilft es auch, wenn er "AES-fähig" ist.
schad ja nix ist aber nur die halbe Wahrheit.
Kann eine Geschwindigkeitsbremse sein, das ist wahr. Ich denke, es hängt auch immer vom Bedrohungsszenario ab. Wenn man damit rechnet, daß die Gegenseite RAM auslesen kann, dann ist swap-Verschlüsselung sicher sinnvoll. Guter Personenschutz dann allerdings auch, denn "unfriendly social engineering" knackt die beste Verschlüsselung. 😉 Unverschlüsselte Grüße !
😉
|
versuchshase
Anmeldungsdatum: 31. Oktober 2009
Beiträge: 377
|
Hallo Happy Penguin, nachdem ich mich nochmal intensiv damit auseinandergesetzt habe, mußte ich feststellen, das entgegen den Angaben hier die Lua- bzw. Scriptunterstützung in Ubuntu offenbar nicht funktioniert. Die Grub-Version auf der Super-Grub-Disk unterstützt allerdings tatsächlich Lua, sodass es möglich sein sollte, das "nachzurüsten". Gruß,versuchshase
|