私のシステム(raspbian)をほとんど読み取り専用に設定したいと思います。私は最新の状態を維持するためにインストールされたすべての重要なパッケージを更新するスクリプトを数日/週ごとに実行します。
数行だけ追加すればよいと読みました。
tmpfs /tmp tmpfs nodev,nosuid 0 0
tmpfs /var/log tmpfs nodev,nosuid 0 0
tmpfs /var/tmp tmpfs nodev,nosuid 0 0
tmpfs /var/cache tmpfs nodev,nosuid 0 0
tmpfs /home/pi/.cache tmpfs nodev,nosuid 0 0
# maybe some other dirs as well?
to、/etc/fstabデフォルト、/および/boottoも設定する必要があります。ro
また、コマンドを実行するだけでよいという内容も読みました。
$ sudo -o remount,rw /
$ sudo -o remount,rw /boot
ro同じコマンドを更新して実行できますが、読み取り専用を再度有効にする代わりにrw。
overlayFSの使用についても読んでいますが、これは必要か推奨されますか?それとも、上記のステップは私の目標を達成するのに十分ですか?
答え1
「読み取り専用」と「更新が必要」は、議論の余地があるシステム要件です。読み取り専用fs(root) - 本番で使用されるLinux-box属性。不要な側面干渉の可能性を減らします。安定性がさらに保証されます。
Linux-box ディストリビューションを構築する場合は更新する必要があります。
一般的な慣行 - 開発プラットフォームのルートをRWに維持し、リリース時にROに固定し、それを使用していくつかの問題を解決します(一部のサービス/アプリケーション、特にPythonモジュールはROに対して確実に準備されていません)。
しかし、システムが特別すぎる場合。 RO領域とRW領域について考え直す必要があるようです。 Linuxマウントシステムは非常に柔軟です。 /usr/lib/ またはその他のコンテンツの各項目を管理できます。厳格な凍結リリース = ROゾーンと更新可能なリリース - RWゾーンのマップを作成します。更新可能なアイテムをもう一度確認してください。ハッカーを防ぐためのいくつかの手順を用意してください。ルートアカウントなし、漏洩したアクセスプロトコルなどなし