Re: UEFI op servers, of niet?

To: Paul van der Vlis <paul@vandervlis.nl>
Cc: debian-user-dutch@lists.debian.org
Subject: Re: UEFI op servers, of niet?
From: Wouter Verhelst <wouter@debian.org>
Date: Wed, 30 Aug 2023 16:27:08 +0200
Message-id: <[🔎] ZO9RvIQBXp0LEsJB@pc220518.home.grep.be>
In-reply-to: <[🔎] b0292186-f5bf-b8e3-adb9-afbf48daf720@vandervlis.nl>
References: <[🔎] f975bd33-bb0c-e95f-80a6-d9628ecd3c24@vandervlis.nl> <[🔎] ZN0xDQi9L1kZgH8E@gpm.stappers.nl> <[🔎] b0292186-f5bf-b8e3-adb9-afbf48daf720@vandervlis.nl>

On Thu, Aug 17, 2023 at 10:21:38AM +0200, Paul van der Vlis wrote:
> > > vind ik niet prettig.
> > 
> > Als je dat die "auto firmware update by firmware" kunt aantonen,
> > ga dan ingesprek met je leverancier.
> Het is een "feature" van UEFI.

Niet echt.

UEFI heeft een standaard manier om firmware-updates te distribueren. Ze
dan ook installeren heeft wat meer nodig:

wouter@pc220518:~$ efibootmgr
BootCurrent: 0008
Timeout: 5 seconds
BootOrder: 0008,0001,0002,0003,0000
Boot0000* Linux Firmware Updater
Boot0001* ONBOARD NIC (IPV4)
Boot0002* ONBOARD NIC (IPV6)
Boot0003* UEFI HTTPs Boot
Boot0008* debian

"Boot0008" is Debian. Dat start normaal op.
"Boot0000" is de "Linux Firmware Updater". Dat is een component van
fwupd, /boot/efi/EFI/debian/fwupdx64.efi.

Daarnaast ben ik persoonlijk ook heel blij met /boot/efi/EFI/Dell/logs
-- als mijn firmware problemen vindt met de hardware, dan komt dat daar
mooi te staan.

> De firmware updated niet de firmware, dat
> doet bijvoorbeeld: https://packages.debian.org/bullseye/fwupd
> Dit wordt standaard geïnstalleerd door Debian volgens mij.
> De leverancier stopt het in: https://fwupd.org/
> 
> > De betere leverancier is ook al eerder aanspreekbaar.
> 
> Dit heeft niet zoveel met de leverancier te maken, ik vind het goed dat ze
> de firmware uploaden. Ik vind dat het alleen nogal automatisch gebeurd
> allemaal.

Het gnome-firmware pakket wordt inderdaad standaard geïnstalleerd op een
desktop-machine, en die zal ook standaard popups tonen als er een update
is voor je firmware met een simpele "Installeer deze update" knop waar
je makkelijk op kunt klikken.

Als je gnome-firmware (of equivalente dingen) niet installeert, dan heb
je dat niet, en dan moet je het manueel doen. Daarvoor kan je dingen
doen als "fwupdmgr get-updates" (denk "apt-get update"), "fwupdmgr
update" (om ze te installeren), "fwupdmgr verify" (controleren dat je
firmware correct geïnstalleerd is), en zelfs "fwupdmgr downgrade"
(hoewel dat in sommige gevallen niet ondersteund is). Het lijkt me dat
dat iets is wat je op een server wel zou prefereren, dan.

> Vroeger was het motto: "vervang firmware alleen als er een
> probleem is".

Sommige problemen zijn niet meteen zichtbaar, maar dat maakt ze niet
minder problematisch. Firmware-updates kunnen security issues fixen
(spectre/meltdown en dergelijke, maar ook gelijkaardige problemen in
chipsets), kunnen performantie-problemen oplossen, en nog veel meer.

Maar als je dat niet wilt, dan laat "fwupdmgr inhibit" je toe om alle
automatische updates te verbieden.

Of je kan fwupd ook van je systeem verwijderen, natuurlijk.

[...]
-- 
     w@uter.{be,co.za}
wouter@{grep.be,fosdem.org,debian.org}

I will have a Tin-Actinium-Potassium mixture, thanks.

Reply to:

References:
- UEFI op servers, of niet?
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: UEFI op servers, of niet?
  - From: Geert Stappers <stappers@stappers.nl>
- Re: UEFI op servers, of niet?
  - From: Paul van der Vlis <paul@vandervlis.nl>

Prev by Date: Re: UEFI op servers, of niet?
Next by Date: Re: UEFI op servers, of niet?
Previous by thread: Re: UEFI op servers, of niet?
Next by thread: Re: UEFI op servers, of niet?
Index(es):
- Date
- Thread