в ретроспективе

GRUB не с каждой ФС умел грузиться, поэтому делали /boot на ext2. Да и сейчас делают, если rootfs на каком-нибудь ZFS.

+ отмонтировать после успешной загрузки или более мягкий вариант поставить на него кучу опций монтирования типа noexec, ro и т.д.

историческая сторона

недавно пришлось так делать. Ядро уже умеет f2fs, а вот lilo пока ещё не умеет. Точнее lilo плевать откуда грузить, но настраивать его надо ручками, в hex редакторе. Да ну его нафиг, проще /boot/ сделать.

А вообще, с initrd boot не нужен, даже если FS поддерживается только модулем. ИМХО разумно сделать маленкую rootfs в EXT4. На 1Гб например.

В общем понял, респект. Другие варианты также принимаются. Да и еще: что-то анонов давно не было слышно. В отпуске что-ли? Ау!

отмонтировать после успешной загрузки или более мягкий вариант поставить на него кучу опций монтирования типа noexec, ro и т.д.

зачем? Если твою систему порутали, то хоть обставься, ты труп. А если не порутали, то ничего с boot ты не сделаешь.

И да, у меня оно ВООБЩЕ не монтируется, только для тестов. Отмонтировать его НЕ нужно.

Тонкий троллинг

Ъ

анонов давно не было слышно.

анонов вообще не слышно. Измельчал анон нынче.

Вот ведь любители в крайности впадать. Можно убивать плохо защищенную систему и без рута. Вот прикинь есть у тебя фс в которой ты можешь файлы создавать. А на этой фс у тебя еще и /boot и /log висит. И начинаешь ты создавать 100500 файлов-однобайтников и директорий внутри директорий и так пока ноды не кончатся или фс не начнет подыхать... Вот что тогда будет с системой?

Самая маленькая проблема, это если процессы не смогут писать в лог. Но знаешь ли ты что после этого начинается с системой?

Slackware Kung-Fu. Понравилось. Ъ

Я всегда так делаю. Скорее по привычке, но можно в этом и всякие плюсы найти.

Да и сейчас делают, если rootfs на каком-нибудь ZFS.

только те, у кого криокамера вышла из строя, и болезнь снова прогрессирует.

А еще так типа безопаснее — read-only /boot дополнительно защищает от бут-китов.

bootkit'ы под Туксом?! Пруф в студию, а то бродит по Европе призрак, призрак secureboot.

Иметь ядро и initrd на случай подыхания ФС

Зачем держать /boot на отдельном разделе.

Абсолютно незачем. Это удел некрофилов и идиотов.

Исторически он происходит от загрузчика, который умел грузиться только с регистрового пульта и содержал в себе драйвер накопителя на перфокартах или на магнитной ленте. Потом появился юникс, и он стал грузиться с ленты и содержал драйвер винчестера, с которого шла основная загрузка системы, а поскольку в юниксах раздел для работы куда-то должен быть примонтирован, ему отвели /boot. Вообще, это позволяло оперативно менять конфигурацию компьютера при минимальных затратах на изменение начального загрузчика.

Вот ведь любители в крайности впадать. Можно убивать плохо защищенную систему и без рута. Вот прикинь есть у тебя фс в которой ты можешь файлы создавать. А на этой фс у тебя еще и /boot и /log висит. И начинаешь ты создавать 100500 файлов-однобайтников и директорий внутри директорий и так пока ноды не кончатся или фс не начнет подыхать... Вот что тогда будет с системой?

ничего не будет. Будет работать, но не очень хорошо.

Ты другое скажи: при чём тут /boot/? Туда ВООБЩЕ ничего не пишется, и не читается. Там запись/чтение только при обновлении/пересборке ядра/настройки загрузчика. У меня так вообще система не пострадает, ежели этот /boot/ прибить нафиг. Да, будет так загружаться. Без /boot/. Ненужный каталог.

На загрузке там есть чтение ядра, но в lilo не из /boot/, а с того места, где БЫЛ этот /boot/.

Самая маленькая проблема, это если процессы не смогут писать в лог. Но знаешь ли ты что после этого начинается с системой?

K.О. докладывает: система не сможет писать в лог. Да, я знаю, неприятно и неудобно. Но таки не фатально.

PS: и по поводу «убивать без рута», то просто не нужно неруту прав давать куда ненужно.

Жестоко.

bootkit'ы под Туксом?! Пруф в студию

были... В последние несколько лет что-то не слышно, а старые не работают. Но таких зверей ro не останавливает. Говорю-же, ядро грузится ДО прав. Правами-то ядро рулит... Т.ч. /boot/ можно вообще не монтировать, ничего это не меняет.

Абсолютно незачем. Это удел некрофилов и идиотов.

не постесняюсь спросить: а я тот и/или другой? Объясни, как сделать лучше(ссылка выше).

а поскольку в юниксах раздел для работы куда-то должен быть примонтирован, ему отвели /boot

вообще-то не должен.

Ну как-то же надо туда заливать образ.

Святая простота.

Именно это я и хотел/предполагал услышать.

lvm, raid, криптография и т.п.

Абсолютно незачем. Это удел некрофилов и идиотов.

Удел идиотов - это не разбираясь в вопросе писать идиотские сообщения

ну как-то куда-то можно и смонтировать. AFAIK сегодня даже и не обязательно именно в /boot/, хотя по дефолту туда.

Святая простота.

ох ты какой умный, а что будет-то? Мы Все Умрём?

lvm, raid, криптография и т.п.

почему не initrd?

На моём, не очень старом ноуте ядро не грузилось из-за того, что было далеко от начала диска. Помогло создание отдельного /boot раздела в начале диска. Видимо раньше были подобные аппаратные ограничения, которые, похоже, остались.

Вот, еще один контрпример из практики, мелочь, а приятно.

А если у тебя бут банально огороженный вендором, который только с фата ведро читать умеет?

почему не initrd?

Загрузчик должен этот initrd откуда-то загрузить. Как он загрузит его с шифрованного раздела, или с raid (не 1 уровня)?

Допустим, GRUB2 уже умеет LVM и md-raid (не знаю, все ли уровни). Но не всегда есть возможность и желание его использовать, и не всегда устраивает реализация этих вещей в загрузчике.

А если у тебя бут банально огороженный вендором, который только с фата ведро читать умеет?

Смените дилера.

Смените дилера.

Кроме x86 есть куча других архитектур.

Кроме x86 есть куча других архитектур.

И на них куча дилеров. Смените негодного.

чтобы недопустить фрагментации ядра при использовании загрузчика, который умеет читать только из определённого блока, а не из файла

Есть ещё тема, что загрузчик (в силу ограничений, он же не операционная система) может и не загрузить ядро, если оно далеко от начала устройства. Помню, в прошлом году имел проблемы, делая загрузку ноута с sd карты. Когда первым ставил раздел с вендой, grub уже не мог загрузить ядро с хвоста 32 Gb карты.

чтобы недопустить фрагментации ядра при использовании загрузчика, который умеет читать только из определённого блока, а не из файла

Это что у вас за такой загрузчик древний? grub, насколько помню, читает файловые системы, lilo, вроде, имеет карту секторов.

Это что у вас за такой загрузчик древний?

у меня grub, а при чём здесь мой загрузчик?

Загрузчик должен этот initrd откуда-то загрузить. Как он загрузит его с шифрованного раздела, или с raid (не 1 уровня)?

с флешки конечно ;)

Если серьёзно, да, есть смысл держать ядро и initrd в отдельном разделе. Но: ИМХО можно и в rootfs. А вот шифровать и raid — отдельные точки монтирования. Но на вкус и цвет...

lilo, вроде, имеет карту секторов.

точно имеет. Потому, собака, не умеет f2fs, ибо пишет, что там «дыра» посередине ядра :( Вот потому и пришлось /boot/ мне делать...

а при чём здесь мой загрузчик?

при том, что хоть и читает «из блока», но таки когда настраивается, этот блок смотри по ФС. И таки дырки тоже определяет, если они есть.

В отличие от GRUB2, загрузчики — не ОС, и часто даже умеют не так много ФС.

Раньше диски были небольшие (по размеру вместимых данных), и приходилось систему разносить на 2-3 HDD. К тому же, при выходе из строя одной части - сохранялась работоспособность других частей.

К примеру, ты можешь /boot и хомячка держать на 64Gb SSD, а все остпльное на медленных и вместительных HDD.

Ну, grub не посекторно читает.

Любая комбинация из этих пунктов:

• LVM
• Программный RAID
• шифрование корня
• неподдерживаемая загрузчиком ФС корня
• загрузчик на другом устройстве (на флешке, например, или по PXE)

Конечно, некоторые вещи можно сделать в самом загрузчике, но не все, не везде, и не в каждом.

К примеру, ты можешь /boot и хомячка держать на 64Gb SSD, а все остпльное на медленных и вместительных HDD.

бред какой-то. Оно же постоянно дёргает /var/ и /usr/, а твои «вместительные» жутко тормозят. 12309 ждёт тебя.

Удел идиотов - это не разбираясь в вопросе писать идиотские сообщения

Вот как раз пример: „lvm, raid, криптография и т.п.” Отдельный /boot для всего этого не нужен, правда поддержка dm-crypt в GRUB вроде пока считается экспериментальной.

Но, наверное, все-таки кошернее ядро вынести на отдельный раздел в boot,не?!