logo elektroda
logo elektroda
X
logo elektroda
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Najlepszy bootloader - z edytowalnym menu.cfg z poziomu notepada

bicik4096 30 Sie 2016 23:18 1950 4
  • #1 15902277
    bicik4096
    Poziom 4  
    Posty: 726
    Ocena: 7
    Witam

    Zacząłem od XBOOT i syslinux. Wszystko chodzi ładnie na pendrive, da się edytować wpisy w menu, zmieniać domyślnie startujacy OS. Jednak po instalacji na hdd, nie chce się uruchamiac zaden os.

    Czy znacie jakiś szybki lekki i nie brzydki zamiennik który pozwala modyfikować menu z wyborem systemów z poziomu zwykłego notatnika ?

    Mój program do zarządzania serwerem domowym, będzie dokonywał zmian w tym menu, w zależności od potrzeb. Dlatego też szukam czegoś na wzór XBOOT, gdzie instaluje się syslinux.
  • #2 15903314
    loa_in_
    Poziom 2  
    Posty: 4
    Chodzi ci o taki co nie wymaga instalacji po zmianie konfigu?
    Nie znam takiego osobiście, ale na pewno istnieje. Ew. możesz nauczyć się commandline GRUBa i wpisać cokolwiek chcesz przy bootowaniu.

    LILO jest łatwy w konfiguracji, ale potrzebujesz uruchomić program który wpisze sektor na dysk, tak samo GRUB i GRUB2.

    Wstawiłbym link ale nie mogę, wpisz LILO config w googla.
  • #3 15903402
    bicik4096
    Poziom 4  
    Posty: 726
    Ocena: 7
    loa_in_ napisał:
    Chodzi ci o taki co nie wymaga instalacji po zmianie konfigu?
    Nie znam takiego osobiście, ale na pewno istnieje. Ew. możesz nauczyć się commandline GRUBa i wpisać cokolwiek chcesz przy bootowaniu.

    LILO jest łatwy w konfiguracji, ale potrzebujesz uruchomić program który wpisze sektor na dysk, tak samo GRUB i GRUB2.

    Wstawiłbym link ale nie mogę, wpisz LILO config w googla.


    Wczoraj z CMD dla bcdedit wpisałem bcdedit /default {tutaj numer seryjny} i przełączyłem się na inny wpis w menu. Uzyskałem w prosty sposób to czego szukałem. Wcześniej w SYSLINUX uzyskałem podobny efekt, tyle że edytując plik cfg. Zmiany o których piszę są mi potrzebne, aby zmieniać czasami, domyślnie uruchamiany system w prosty sposób. SYSLINUX jego cfg da się zeminiać z notepada, to bardzo wygodne.

    Mój plan jest prosty, potrzebuje na zrobionej małej partycji 100-500MB, trzymać swój bootloader / bootmanager o ile nie mylę pojęć. To ma być zaszyfrowane, na wypadek, gdyby atakujący dostał się do serwera. Aby żaden program / trojan, nie mógł podmienić, lub podpiąć coś pod MBR. Niby po pierwszych testach takich zabezpieczeń, da się to zrobić.

    Czyli gdy system jest włączony, partycja 1 dysku, ta mała z MBR, jest zaszyfrowana i niedostępna. To rzekomo chroni komputer, gdyby ktoś chciał podpiąć mi trojana pod boot przy wcześniejszym włamaniu na serwer.

    Teraz brnę w to dalej. Celem moim jest stworzenie bezpiecznego energooszczędnego serwera plików, do pracy / projektów itp.

    Szkoda że w bios nie mam blokady zapisu do MBR. Jedna płyta tak ma inna nie ma. W MBR o ile się nie mylę, da się wstawić złośliwy kod. Sam fakt że są programy które mogą egzystować w MBR, daje mi do zrozumienia że i trojana teoretycznie bo tego nie wiem, da się tam umieścić.

    Czy ja to dobrze rozumiem ? Zaszyfrowana partycja 1 ta mała z MBR, unimożliwia dostęp do MBR dysku ?

    Komputer uruchamiam obecnie z pendrive, ponieważ nie da się go wystartować inaczej. Dostępną opcją jest również boot from PXE. W teorii takie zabezpiecznie powinno działać ? Chodzi głównie o ochronę MBR, sekwencji startowych.
  • #4 15903775
    loa_in_
    Poziom 2  
    Posty: 4
    Zakładając, że to serwer linuxowy to tak:

    Spróbuj zainstalować swoją dystrybucję na dysku sformatowanym UEFI.
    wady:
    - zależy od sprzętu
    - nie każdy linux to obsługuje jeszcze
    - jeśli sprzęt obsługuje, ale masz MBR, to musisz sformatować cały dysk by zrobić tablicę GPT (UEFI)
    zalety:
    - jest to zaszyfrowane i nie da się zmienić bootloadera bez fizycznego dostępu do serwera

    (ale generalnie tego nie polecam)
    Myślę że podchodzisz do bezpieczeństwa tego serwera ze złej strony.

    Skoncentruj się raczej na zabezpieczeniu działających na tym serwerze usług, tj serwera apache, samba, czy czegokolwiek chcesz tam używać.
    Ogólnym sposobem na to jest dobre skonfigurowanie SeLinuxa i ustawienie go w tryb Enforcing.

    Jest to długi temat, bo zawiera dużo pojęć, więc napiszę więcej jeśli wyrazisz na to chęć i dowiem się co już na ten temat wiesz, co by się nie produkować za wiele.

    SeLinux jest bardzo skutecznym systemem kontroli dostępu. Może zagwarantować, że żaden proces/użytkownik (nawet root) nie będzie miał swobody zmiany plików jak bootloader. Można ustawić tak, żeby nawet program parted uruchomiony przez roota nie będzie mógł zmienić bootloadera.

    Jeśli zapewnimy przez SeLinuxa to, że wszystkie serwery sieciowe będą mogły jedynie czytać pliki i nie wykonywać (poza wybranymi) to nikt nie nadpisze twojego bootloadera.
    Ja bym tak na to się zapatrywał.
  • #5 15921896
    bicik4096
    Poziom 4  
    Posty: 726
    Ocena: 7
    loa_in_ napisał:
    Zakładając, że to serwer linuxowy to tak:

    Spróbuj zainstalować swoją dystrybucję na dysku sformatowanym UEFI.
    wady:
    - zależy od sprzętu
    - nie każdy linux to obsługuje jeszcze
    - jeśli sprzęt obsługuje, ale masz MBR, to musisz sformatować cały dysk by zrobić tablicę GPT (UEFI)
    zalety:
    - jest to zaszyfrowane i nie da się zmienić bootloadera bez fizycznego dostępu do serwera

    (ale generalnie tego nie polecam)
    Myślę że podchodzisz do bezpieczeństwa tego serwera ze złej strony.

    Skoncentruj się raczej na zabezpieczeniu działających na tym serwerze usług, tj serwera apache, samba, czy czegokolwiek chcesz tam używać.
    Ogólnym sposobem na to jest dobre skonfigurowanie SeLinuxa i ustawienie go w tryb Enforcing.

    Jest to długi temat, bo zawiera dużo pojęć, więc napiszę więcej jeśli wyrazisz na to chęć i dowiem się co już na ten temat wiesz, co by się nie produkować za wiele.

    SeLinux jest bardzo skutecznym systemem kontroli dostępu. Może zagwarantować, że żaden proces/użytkownik (nawet root) nie będzie miał swobody zmiany plików jak bootloader. Można ustawić tak, żeby nawet program parted uruchomiony przez roota nie będzie mógł zmienić bootloadera.

    Jeśli zapewnimy przez SeLinuxa to, że wszystkie serwery sieciowe będą mogły jedynie czytać pliki i nie wykonywać (poza wybranymi) to nikt nie nadpisze twojego bootloadera.
    Ja bym tak na to się zapatrywał.


    Dzięki za wypowiedź. Obecnie jestem na W7x64, wcześniej testowałem PCLOS, Debian. Niestety, tylko na W7x64 uzyskuje transfery po LAN, ok. 100MB sek, czasami mniej, czasami więcej. W linuxach, mam wolne transfery, dlatego trochę błądzę. Nie wiem już czego używać.

    Jak to możliwe, że tyle firm ma serwery, systemy operacyjne typu linux i tam mają przyzwoite transfery, a ja, mam tylko przyzwoite transfery na Windows ?

    Sporo czasu straciłem i nadal na linuxie mam wolne transfery, po LAN.
    Więc póki co jestem na W7x64 i tu jak na razie działam sobie.

    Co chodzi o MBR i pierwsze sektory dysku, udało mi się je zaszyfrować.
    Odpalenie komputera z cd, lub pendrive daje mi w pewnym stopniu
    wrażenie, że nie da się dołączyć do startera żadnego kodu złośliwego,
    oczywiście w teorii, kto tam wie co się da a co się nie da...

    Powiedz, czy na Intel Atom D510, jest jakaś wersja linux, która umożliwia
    po SAMBIE lub w inny sposób, uzyskać transfery jak na W7x64 ? Czyli po 100 MB / sek ?

    Musze mieć wydajny lan, w końcu po coś kupiłem płyte ze 1Gbps kartą...
REKLAMA