# /boot unbedingt in einer eigenen Partition ?

## tazinblack

Hallo Forum,

ich möchte gentoo auf einer Festplatte installieren, wo schon 3 Partitionen drauf sind.

Benötige ich unbedingt eine eigene /boot - Partition oder kann ich /boot auf die gleiche Partition legen wie / ?

Alternativ könnte ich auch eine erweiterte Partition anlegen und darunter dann /boot und / .

Wie sind Eure Erfahrungen und was empfehlt ihr mir ?

Gruß

tazinblack

----------

## STiGMaTa_ch

Hey tazinblack

Das wurde hier schon des oefteren abeghandelt. Benutz bitte in Zukunft die Forumsuche!

Siehe den Thread https://forums.gentoo.org/viewtopic.php?t=277127&highlight=boot+eigene+partition

oder den hier:

https://forums.gentoo.org/viewtopic.php?t=273336&highlight=boot+eigene+partition

oder den:

https://forums.gentoo.org/viewtopic.php?t=247486&highlight=boot+eigene+partition

----------

## tazinblack

sorry  :Sad: 

----------

## Raistlin

Du musst nicht eine separate Partition für boot anlegen.

Ich habe die Erfahrung gemacht, dass ich oftmals (v.A. auf Dual-Boot Maschinen) um einen weiteren "freien" Eintrag in der Partitionstabelle froh gewesen bin  :Smile: 

Gruss, R.

----------

## STiGMaTa_ch

 *tazinblack wrote:*   

> sorry 

 

Kein Problem   :Cool: 

----------

## platinumviper

 *Raistlin wrote:*   

> um einen weiteren "freien" Eintrag in der Partitionstabelle froh gewesen bin 

 

Der Kernel unsterstützt 20 IDE Platten mit jeweils 62 benutzbaren Partitionen und 256 SCSI Platten mit jeweils 14 benutzbaren Partitionen, damit sollte man doch auskommen  :Wink: 

platinumviper

----------

## ank666

Da geb ich jetzt auch noch meinen Senf dazu,

falls du die / mit Reiser4 formatieren willst, brauchst du eine /boot 

mit ext2/3 oder xfs da das aktuelle Grub noch nix mit Reiser4 anfange kann

----------

## Raistlin

 *platinumviper wrote:*   

>  *Raistlin wrote:*   um einen weiteren "freien" Eintrag in der Partitionstabelle froh gewesen bin  
> 
> Der Kernel unsterstützt 20 IDE Platten mit jeweils 62 benutzbaren Partitionen und 256 SCSI Platten mit jeweils 14 benutzbaren Partitionen, damit sollte man doch auskommen 
> 
> platinumviper

 

Ja, Linux kann das  :Smile: . Doch spielte ich auf meine Rechner an, die noch ein "anderes" OS (naja...) auf der Platte haben, welches sich ziemlich schwer tut, mit mehr als vier primären Partitionen...   :Razz: 

Gruss, R.

----------

## c07

Siehe auch in der englischen FAQ.

Selbst mit Reiser4 braucht man nicht unbedingt eine eigene Partition für /boot. Bei Lilo sollte das egal sein, oder man kann die Sachen ganz woanders unterbringen, z.B. auf einer eh vorhandenen VFAT-Partition. Mit etwas Handarbeit sollte selbst Grub mit /boot auf Reiser4 zurecht kommen (man muss ihm halt genau sagen, wo die nötigen Sachen sind).

----------

## Hilefoks

 *Raistlin wrote:*   

> Ja, Linux kann das . Doch spielte ich auf meine Rechner an, die noch ein "anderes" OS (naja...) auf der Platte haben, welches sich ziemlich schwer tut, mit mehr als vier primären Partitionen...  
> 
> 

 

Du mußt Linux ja nicht in primäre Partitionen packen. Ich installiere auf einer Dual-boot Maschine Win immer in die erste primäre, den Rest (Gentoo eben) immer in erweiterte. Bei mir ist hda5 /boot, hda6 SWAP, hda7 /, hda8 /home, hda9 /var usw.

Mfg Hilefoks

----------

## pablo_supertux

 *tazinblack wrote:*   

> 
> 
> Benötige ich unbedingt eine eigene /boot 
> 
> 

 

nein, es ist kein muss, du kannst /boot keiner eigenen Partition geben. Ich hab auch so getan. Aber es gibt Vorteile, wenn /boot in eine extra Partition steht. Aber wenn du keine weitere Partition anlegen kannst/willst, kannst du /boot unter / haben.

----------

## gentop

Ein kleiner Hinweis: Wenn du /boot in einer Extrapartition hast, ist diese während des normalen Betriebes nicht gemountet - das kann durchaus Sicherheitsvorteile haben  :Wink: 

//gentop

----------

## c07

 *gentop wrote:*   

> Wenn du /boot in einer Extrapartition hast, ist diese während des normalen Betriebes nicht gemountet - das kann durchaus Sicherheitsvorteile haben 

 

Welche? Wer den Kernel verändern kann, kann normalerweise auch /boot mounten. Und wenn du den Kernel durch einen Unfall verlierst, hast du ihn gerade bei Gentoo ohne jedes Problem gleich zurück. Und /boot ohne funktionstüchtiges / bringt dir gar nichts (nicht mal zum Booten).

----------

## Fauli

Wenn du mehrere Linuxe installiert hast, aber keine separate Boot-Partition benutzt, hast du mehrere /boot-Verzeichnisse (in jedem Linux-System eins), aber nur ein einziges davon wird vom installierten Grub verwendet. Das ist meiner Meinung nach unnötig kompliziert. Eine eigene Boot-Partition hat dagegen keine echten Nachteile.

----------

## l3u

Wieso ist das ein Nachteil? Ich hatte schon drei verschiedene Linuxe parallel installiert. Und bei einem hab ich halt die anderen bei grub eingetragen. Ob ich das jetzt in die grub.conf von einer extra boot-Partition eintrage oder eben in eine grub.conf in einem boot-Verzeichnis von einer Distribution ist doch egal!

Ich sehe keine Notwendigkeit, eine extra boot-Partition anzulegen, solang das BIOS oder grub keine Probleme machen.

----------

## pablo_supertux

 *Fauli wrote:*   

> aber nur ein einziges davon wird vom installierten Grub verwendet. 

 

Nein, das stimmt doch gar nicht. Ich habe 2 Festplatten und beide haben GNU/Linux, 2 unterschiedliche boot Partitionen (sogar auf 2 verschiedene Platten) und ich kann beide Systeme mit einem einzigen GRUB Menu starten. Grub ist egal, wo die kernel image sich befinden, was stimmen muss ist der Pfad.

----------

## l3u

Ich glaube, er hat gemeint, daß nur eines der /boot-Verzeichnisse tatsächlich den grub beinhaltet, der benutzt wird. Daß man alle anderen auch booten kann, ist ja klar -- wäre ja sonst auch blöd ;-)

----------

## longinus

Sehe ich das richtig, wenn man eine eigene Boot Partition verwendet und diese in Fstab nicht automatisch mounten läßt, dann kann ein eventueller Angreifer nur einen gefakten Kernel einspielen wenn er volle Root Rechte hat? Oder ist das von mir zu simpel gedacht?

Ach ja ich beziehe das auf einen monolithischen Kernel, also ohne Modul Support.

----------

## slick

Ja, würde ich so sagen. Aber da der Angreifer sehr wahrscheinlich auch root-Rechte benötigt wenn /boot bereits gemountet wäre, macht es keinen Unterschied denke ich mal ob man jetzt /boot auf einer extra-Partition hat oder nicht. Meine Schlußfolgerung: Hat er root-Rechte ist die Partitionierung egal, hat er keine dann auch  :Wink:  (zumindest wenn /boot nur durch root beschreibbar ist)

----------

## pablo_supertux

 *longinus wrote:*   

> Sehe ich das richtig, wenn man eine eigene Boot Partition verwendet und diese in Fstab nicht automatisch mounten läßt, dann kann ein eventueller Angreifer nur einen gefakten Kernel einspielen wenn er volle Root Rechte hat? Oder ist das von mir zu simpel gedacht?
> 
> Ach ja ich beziehe das auf einen monolithischen Kernel, also ohne Modul Support.

 

wer Root Rechte bekommt, kann alles machen, da bist du gar nicht geschützt, da kannst du alles mountieren usw. Und wer sich root Rechte hackt, kennst sich gut genug, um zu merken, dass die boot Partition nicht mountiert war.

 *Quote:*   

> 
> 
> Ich glaube, er hat gemeint, daß nur eines der /boot-Verzeichnisse tatsächlich den grub beinhaltet, der benutzt wird. Daß man alle anderen auch booten kann, ist ja klar -- wäre ja sonst auch blöd 
> 
> 

 

Und wozu will man GRUB in verschiedenen boot Partitionen haben? Ich verstehe das nicht.

----------

## longinus

 *slick wrote:*   

> Meine Schlußfolgerung: Hat er root-Rechte ist die Partitionierung egal, hat er keine dann auch  (zumindest wenn /boot nur durch root beschreibbar ist)

 

Meine Idee wäre halt den Root Zugriff nur über eine einzige lokale Konsole zu erlauben (geht das denn?), Nutzer der wheel Gruppe, z.B. per ssh, dürften ja dann keinen Zugriff mehr auf /boot haben?

Warum mich das so interessiert, man hört ja in letzter Zeit soviel von so genannten 'root-kits' und zu meinem Erschrecken mußte ich lesen das diese sogar teilweise mit monolithischen Kernel funktionieren  :Sad: 

----------

## tazinblack

Na da hab ich ja was losgetreten !

seitdem ich gentoo verwendet versuche ich immer eine eigene Partition für /boot zu haben.

Ich finde man hat das Gefühl, etwas mehr Sicherheit zu haben, auch wenns garnicht so ist.

Vielleicht aber abschließend : 

Wie man hier sieht ist das wohl Geschmackssache, also jeder wie er mag !

Vielen Dank für die Rege Beteiligung !

Gruß tazinblack

----------

## limes

IMHO:

kleiner Performancegewinn durch eigene Partition:

- da Fragmentierung fast ausgeschlossen.

- als erste Partition der Platte schnelle Datenübertragung.

----------

## pablo_supertux

 *longinus wrote:*   

>  *slick wrote:*   Meine Schlußfolgerung: Hat er root-Rechte ist die Partitionierung egal, hat er keine dann auch  (zumindest wenn /boot nur durch root beschreibbar ist) 
> 
> Meine Idee wäre halt den Root Zugriff nur über eine einzige lokale Konsole zu erlauben (geht das denn?), Nutzer der wheel Gruppe, z.B. per ssh, dürften ja dann keinen Zugriff mehr auf /boot haben?

 

Ich verstehe die Paranoia nicht. Wie willst du root die boot Partition Rechte wegnehmen? Das geht irgendwie nicht. Und wieso hast du so viel Angst um deine boot Partition? Ich, als Hacker, würde die boot Partition als letztes besuchen, was finde ich denn dort spannendes?

----------

## longinus

Das Problem ist, sobald ein Hacker die Möglichkeit hat ein modifiziertes Kernel aufzuspielen, hat er volle Kontrolle über das System, auch ändern des Root Passworts und andere Dinge helfen dann nicht mehr, er steht dann sozusagen über Root solange bis das Problem entdeckt ist, ein anderer Kernel darübergespielt ist und sonstige 'Arbeit' des Hackers entfernt.

Der Kernel ist imho das schützenswerteste Teil des ganzen Systems, wie gefährlich sowas ist zeigt sich ja vor Monaten, als Hacker auf einen Gentoo Route Server Zugang zum System durch so ein 'root-kit' erlangten, die Betreiber konnten den Angriff sehr schnell entdecken und so Schaden abwenden, ich möchte nicht viel sagen, aber einen wie mir wäre sowas wohl garnicht aufgefallen  :Sad: 

Meine es kommt ja dann oft das Argument auf "Meinen Server benutze ich nur als kleines Hobby System" das hilft aber nicht wenn verfassungsfeindliche Organisationen oder organisierte Kriminelle dann unbemerkt das eigene System zu ihren Informationsrelay ausbauen können  :Sad: 

----------

## pablo_supertux

 *longinus wrote:*   

> Das Problem ist, sobald ein Hacker die Möglichkeit hat ein modifiziertes Kernel aufzuspielen, hat er volle Kontrolle über das System, auch ändern des Root Passworts und andere Dinge helfen dann nicht mehr, er steht dann sozusagen über Root solange bis das Problem entdeckt ist, ein anderer Kernel darübergespielt ist und sonstige 'Arbeit' des Hackers entfernt.

 

Sagen wir mal so:

Das Problem ist, sobald ein Hacker die Möglichkeit hat ein modifiziertes Kernel aufzuspielen, braucht das nicht zu tun, weil er dein System bereits in seiner Hand hat.

----------

