Por que a partição efi é montada?

7

No Ubuntu e em várias outras distros, a partição EFI é montada em /boot/efi .

Pelo que entendi, a partição EFI é lida antes do rootfs do SO ( / ). Então, depois que o kernel carregou e montou / , para que ainda precisamos da partição EFI? Em teoria, após a instalação inicial, você não precisa mais acessar /boot/efi , pois ele contém apenas o binário .efi ...

Então, por que é montado? Parece que a montagem automática de uma partição com arquivos confidenciais que você não acessa com muita frequência não é uma coisa muito inteligente para fazer do ponto de vista do design ...

EDITAR:

Alguns sistemas recentes podem incluir o grub.cfg em sua produção. Veja este relatório de erros , embora este não seja o caso do meu 16.04LTS. Portanto, para sistemas com o arquivo de configuração no ESP, faz mais sentido montá-lo. No entanto, com que frequência as pessoas precisam executar update-grub , e o script não poderia montá-lo e desmontá-lo novamente após a atualização?

    
por jiggunjer 07.02.2017 / 13:44

2 respostas

7

Existem vários motivos pelos quais o ESP pode precisar ser acessado em várias circunstâncias:

  • /boot/efi/EFI/ubuntu/grubx64.efi - Este é o binário do EFI GRUB 2, que deve ser substituído se o pacote GRUB for atualizado.
  • /boot/efi/EFI/ubuntu/grub.cfg - Este é um arquivo de configuração do GRUB que faz muito pouco; principalmente carrega /boot/grub/grub.cfg . Esse redirecionamento é feito para habilitar um "gancho" para sistemas de Inicialização Segura; sem Secure Boot, o binário grubx64.efi pode ser construído localmente e aponta diretamente para /boot/grub/grub.cfg ; mas como a localização de /boot/grub/grub.cfg varia (como visto pelo ESP) de um sistema para outro, colocar um arquivo grub.cfg no ESP é necessário para o Secure Boot, que não permite que grubx64.efi seja construído localmente. IMHO, faria mais sentido colocar o principal grub.cfg e outros arquivos de suporte do GRUB no ESP, mas os desenvolvedores encarregados disso optaram por uma abordagem mais conservadora, em relação ao que um sistema baseado em BIOS faz. De qualquer forma, o grub.cfg no ESP raramente será actualizado; mas isso pode ser necessário em algum momento, particularmente se o pacote Debian GRUB for atualizado.
  • /boot/efi/EFI/ubuntu/shimx64.efi - Este é o binário Shim, que é necessário para o Boot Seguro funcionar. Como o binário GRUB 2, ele pode ser atualizado por uma atualização de pacote Debian, mas do pacote shim-signed .
  • /boot/efi/EFI/ubuntu/MokManager.efi - Este é o binário do MokManager, que é uma ferramenta de suporte Shim. Como o Shim, pode ser atualizado em uma atualização de pacote.
  • /boot/efi/EFI/ubuntu/fwupx64.efi - Esta é uma ferramenta para ajudar a automatizar a atualização de firmware em um computador baseado em EFI. Como com os binários EFI anteriores, ele pode ser atualizado por uma atualização de pacote Debian.
  • Arquivos de firmware EFI - A atualização do firmware provavelmente exigirá a cópia de arquivos de firmware para o ESP. Isso pode ser um processo manual ou algo que é pelo menos parcialmente automatizado usando o binário fwupdate do Linux e binário fwupx64.efi EFI correspondente. (Eu não sou 100% positivo que este último requer escrever arquivos para o ESP, no entanto. É muito novo e tem documentação mínima neste momento.)
  • Outras ferramentas relacionadas à EFI - Programas como meu rEFInd gerenciador de inicialização e outros gerenciadores de inicialização e ferramentas não padrão da EFI podem precisa ser instalado no ESP. O grande número de ferramentas que podem precisar ser instaladas é significativo, mas a maioria delas é exótica, portanto, o número de sistemas afetados é pequeno.
  • Ajustes manuais do arquivo de configuração - Se você quiser reconfigurar um carregador de inicialização, pode ser necessário ler o arquivo de configuração no ESP, editá-lo e salvar o arquivo editado de volta. Para esse assunto, simplesmente examinar a configuração requer que o ESP seja montado (embora possa ser uma montagem somente leitura).
  • Ferramentas de informações do sistema - Ferramentas como o Script de informações de inicialização lê arquivos de configuração no ESP para gerar um relatório sobre como o sistema está configurado. O Boot Info Script provavelmente monta o ESP mesmo que seja desmontado para fazer o seu trabalho, mas eu não sou 100% positivo disso. Pode haver outras ferramentas que pressupõem que o ESP já esteja montado e sua funcionalidade seria degradada se essa suposição não fosse cumprida.

Em suma, existem algumas razões que o próprio SO ou você pode querer ou precisar ler ou escrever no ESP. Dito isso, essas razões são poucas em número suficiente para que um mecanismo para montar temporariamente o ESP e, em seguida, desmontá-lo quando feito, seja benéfico. Certamente, um script de instalação de pacotes Debian poderia fazer o trabalho, por exemplo, como ferramentas automatizadas que modificam arquivos de configuração no ESP. AFAIK, no entanto, alterar o status de montagem do ESP não está no horizonte.

Observe que o ESP é montado com permissões bastante restritivas por padrão. Recentemente (começando com 15.10 ou 16.04, talvez - não sei exatamente quando), as permissões de montagem foram alteradas para que somente root possa ler /boot/efi . Mesmo antes disso, somente root poderia escrever para o ESP, embora as permissões de leitura fossem mais soltas. Como root pode montar partições, há um benefício de segurança mínimo para deixar o ESP desmontado neste ponto, embora haja um benefício em que haja menos risco de danos ao sistema de arquivos devido a um erro, falta de energia, etc. .

    
por Rod Smith 09.02.2017 / 21:37
2

Você está certo: não há necessidade de montar o ESP em /boot/efi na configuração padrão (também conhecido como grub 2 )

update-grub atualiza grub.cfg que está em /boot/grub , então a configuração do grub é atualizada sem problema se o ESP não estiver montado.

Eu não o montei por alguns anos na minha instalação anterior sem problemas.

Você pode ganhar alguns micro segundos durante a inicialização, não montando-o se desejar; -)

    
por solsTiCe 07.02.2017 / 14:39