Amorceur indépendant

Bonjour,

Lorsqu’on installe deux distributions Linux sur une machine, se pose le problème de celle qui contient les informations de grub. En cas de mise à jour du système, en particulier du noyau, c’est la dernière distribution actualisée qui devient “maître”. Cela me pose problème dans une salle pédagogique où l’une des partitions est susceptible d’être martyrisée par les utilisateurs, ce qui rendrait la machine inamorçable, si cette partition est “maître” et qu’elle est cassée.

Je cherche un amorceur indépendant qui ne stockerait aucune information dans aucune des partitions spécifiques des distributions, et qui ne ferait que renvoyer sur l’amorceur spécifiquement installé sur le partition boot record.

Je connaissais gag, mais je viens de découvrir qu’il installe une partie de ces fichiers dans une des distributions.

Il existe d’autres amorceurs comme AiR-Boot, SmartBoot.

J’apprécierai un retour d’expérience.

Cordialement

Dominique.

Salut,

Il te suffit, pour les machines susceptibles d’être malmenée d’installer leur grub sur la partition et non sur le MBR. Ainsi seule la machine stable sera maîtresse du boot

Bonjour,

Je crois que je comprends mais j’aimerais une confirmation.
Supposons une machine sur laquelle existe une première distribution, protégée, avec grub en MBR.
Supposons que j’installe une seconde distribution, masochiste , en veillant à installer grub dans le PBR.
Les mises à jour de cette distribution masochiste n’interféreront pas avec le grub officiel de la distribution protégée. Ai-je bien compris ?

Je croyais avoir opéré ainsi sur une machine d’essai. C’est pourtant le grub masochiste qui a pris la main. Toutefois, il se peut que j’aie fait une fausse manipulation. Je ne trouve pas de fichier de configuration qui m’indique où grub s’installe lors d’un update-grub (et par là où il s’est installé la première fois) ? Ni /etc/default/grub ni les fichiers sous /etc/grub.d ne semblent contenir d’information de cette nature.

Cordialement

Dominique.

Miko,
pourquoi ne pas mettre les machines “torturables” en VM ?
Tu pourras ainsi les réinitialiser très facilement.

Bonjour,

C’est une piste que j’ai envisagée.
Ma crainte est que les spécificités de l’enseignement concerné (systèmes “embarqués”) ne me posent des problèmes d’accès matériel. Il faut que j’expérimente.

Cordialement

Dominique.

C’est quoi, une distribution “protégée” ?

[quote=“miko”]Supposons que j’installe une seconde distribution, (…) en veillant à installer grub dans le PBR.
Les mises à jour de cette distribution masochiste n’interféreront pas avec le grub officiel de la distribution protégée. Ai-je bien compris ?[/quote]
Oui, c’est bien ça.

C’est normal. Contrairement à lilo, grub est installé une fois pour toutes avec grub-install et n’a pas besoin d’être réinstallé après installation ou suppression d’un noyau. Seul le fichier de configuration /boot/grub/menu.lst (pour grub 1) ou /boot/grub/grub.cfg (pour grub 2) doit être mis à jour avec update-grub.

Le choix lors de l’installation du paquet grub-pc a dû être enregistré par debconf, et peut être retrouvé avec la commande suivante :

Bonjour,

Cette distribution est à usage général : les utilisateurs n’ont pas accès au compte root.

Merci pour la confirmation.

[quote=“PascalHambourg”]

Contrairement à lilo, grub est installé une fois pour toutes avec grub-install et n’a pas besoin d’être réinstallé après installation ou suppression d’un noyau.[/quote]

J’ai effectivement l’esprit biaisé par lilo. Je me demande toutefois s’il n’est pas nécessaire de réisntaller grub lorsqu’on “touche” aux fichiers stage1 et cie.

Quoi qu’il en soit merci pour ces informations.

Cordialement

Dominique.

Si les utilisateurs peuvent booter n’importe quel autre système avec les droits root sur la machine à partir d’un CD, d’une clé USB ou d’une autre distribution installée à côté, alors ils peuvent faire ce qu’il veulent sur la distribution soi-disant “protégée”, à moins que celle-ci ait des partitions chiffrées.

Oui, bien sûr, mais on ne touche pas à ces fichiers lors d’une simple mise à jour du menu de démarrage. Le seul fichier à modifier, c’est grub.cfg. Contrairement au chargeur de lilo, celui de grub sait lire les tables de partition et systèmes de fichiers, il n’a donc pas besoin d’enregistrer “en dur” les noms et positions physiques des images de noyaux.

Bonjour,

Si les utilisateurs peuvent booter n’importe quel autre système avec les droits root sur la machine à partir d’un CD, d’une clé USB ou d’une autre distribution installée à côté, alors ils peuvent faire ce qu’il veulent sur la distribution soi-disant “protégée”,[/quote]

Je suis parfaitement conscient de ce fait .
La protection que j’évoque ici est une protection contre les erreurs involontaires, pas contre la malveillance.
La seconde distribution a pour vocation un enseignement de conception de systèmes embarqués : les étudiants sont amenés à modifier des éléments du système embarqué, et un / mal placé peut faire beaucoup de dégats dans le système hôte.
S’ils cassent la seconde distribution, c’est sans gravité. La première est “protégée” parce qu’elle n’est pas montée par la seconde.
Evidemment un fdisk ou un mkfs malheureux sont toujours possibles, mais on ne peut pas apprendre à faire une omelette sans casser occasionnellement des œufs à coté du bol. On ne devient vraiment administrateur unix que l’on lorsque l’on a du réparer un rm -rf /*.

Ma question initiale tendait à libérer l’administrateur des machines de la gestion de la seconde distribution, qui m’est dévolue, et d’éviter autant que faire se peut les interactions entre les deux (les trois même devrais-je écrire parce qu’il y a aussi un windows installé ).

Cordialement

Dominique.

Tous ça confirme ma première idée: virtualisation pour la distribution sous torture d’étudiants débutants!
Pour l’interface matériel, c’est même un avantage, tu peux faire une VM sur base ARM (pour sortir du trop classique 686 …);
Pour débuter c’est ce qui me semble le mieux.
Et pour toi c’est tout bénef. Réinstaller une machine consiste en gros à copier un fichier …

Bonjour,

[quote=“PascalHambourg”]Le choix lors de l’installation du paquet grub-pc a dû être enregistré par debconf, et peut être retrouvé avec la commande suivante :

Parfait. Merci.

Cordialement

Dominique.

pour être un peu plus a l’abri , tu peux mettre /boot sur une partition séparée.

De quoi une partition /boot séparée est-elle censée mettre à l’abri ? Pour ma part je n’y vois aucun intérêt.