組み込み設定に読み取り専用ルートファイルシステムを使用するのは良い考えですか？

Question 1

新しい回答（2015-03-22）

（メモ:この回答は以前よりも簡単ですが、より安全ではありません。ファイルを保存できるので、最初の答えはより強力です。読み取り専用渡すファイルシステムのマウントオプション 今後許可フラグ。だから力許可なくファイルに書き込むことはまったく機能しません。 )

うん、降りてダーバン、パッケージがあります:FS保護（ホームページ）。

aufs（デフォルトでは他のunionfsツールを使用することもできます）を使用して許可します。ライブセッションの変更ただし、デフォルトではRAMにあるため、再起動時にすべての内容が消去されます。

次のコマンドを実行して簡単にインストールできます。

apt-get install fsprotect

完了したら、オンラインマニュアルで次の操作を行います。

以来：

/boot/grub/menu.lstまたは、編集して/etc/default/grub2カーネルパラメータに/etc/lilo.conf""を追加します。fsprotect=1G

必要に応じて1Gを修正してください。

変更を適用する（例：run update-grub）

/etc/default/fsprotect保護したい場合/。

再起動

grubブートローダをパスワードで保護したり、変更を無効にしたりすることもできます。

ここで特定のファイルが変更されないように保護されている場合（例：

chmod ugo-w myfile

例を使用しvi myfileてコマンドを使用して作成しようとすると、これが機能し、:w!内容が myfile変更されます。未修正を検索するには、再起動できますmyfile。

以下の最初の解決策では不可能です。

前（最初）の答え：

はい、これは強力なソリューションであり、うまく動作します！

r/o を有効にする

いくつかのディレクトリをインストールする必要があります。読み書き、おそらく、/varこれは次のように行うことができます。/etc/homeオブまたは同盟。私はこれが好きです他の方法、使用、/dev/shmおよびmount --bind：

cp -a /var /dev/shm/
mount --bind /dev/shm/var /var

static-var/ varにシンボリックリンクを作成する代わりに、以前は通常の操作中に変更する必要がなかったすべてのディレクトリを次のディレクトリに移動できました。

mkdir /static-var
mkdir /static-var/cache
mkdir /static-var/lib
mv /var/lib/dpkg /static-var/lib/dpkg
ln -s /static-var/lib/dpkg /var/lib/dpkg
mv /var/cache/apt /static-var/cache/apt
ln -s /static-var/cache/apt /var/cache/apt
... # an so on

したがって、roから再マウントすると、ほとんどのファイルがRAMに移動され、シンボリックリンクのみがコピーされるため、コピーが大量のスペースを占有しません/var。/dev/shm/static-var

これを詳細に実行するより良い方法は、フルパワーサイクル、一日中作業を実行し、次のコマンドを詳細に実行することです。

find / -type f -o -type f -mtime -1

したがって、読み取り/書き込みパーティションにどのファイルが必要かを確認できます。

記録

このホストには書き込み可能な静的メモリがないため、履歴やその他のログを保存するにはリモートサーバーを設定する必要がありますsyslog。

echo >/etc/syslog.conf '*.* @mySyslogServer.localdomain'

これにより、何らかの理由でシステムがクラッシュした場合に以前の内容がすべて記録されます。

アップグレード中

使用中のアイテムを実行するときにシステムが使用中mount --bind（ダウンタイムを減らすために実行せず）、これらのアップグレードを実行するには、init 1きれいなシステムを再構築する方が簡単です。根、アップグレード可能：

「/」を再度マウントした後読み書きモデル：

mount -o remount,rw /

for mpnt in /{,proc,sys,dev{,/pts}};do
    mount --bind $mnpt /$mnt$mpnt;
    done

chroot /mnt

apt-get update && apt-get dist-upgrade

exit

umount /mnt/{dev{/pts,},proc,sys,}

sync
mount -o remount,ro /

今：

shutdown -r now

Answer

新しい回答（2015-03-22）

（メモ:この回答は以前よりも簡単ですが、より安全ではありません。ファイルを保存できるので、最初の答えはより強力です。読み取り専用渡すファイルシステムのマウントオプション 今後許可フラグ。だから力許可なくファイルに書き込むことはまったく機能しません。 )

うん、降りてダーバン、パッケージがあります:FS保護（ホームページ）。

aufs（デフォルトでは他のunionfsツールを使用することもできます）を使用して許可します。ライブセッションの変更ただし、デフォルトではRAMにあるため、再起動時にすべての内容が消去されます。

次のコマンドを実行して簡単にインストールできます。

apt-get install fsprotect

完了したら、オンラインマニュアルで次の操作を行います。

以来：

/boot/grub/menu.lstまたは、編集して/etc/default/grub2カーネルパラメータに/etc/lilo.conf""を追加します。fsprotect=1G

必要に応じて1Gを修正してください。

変更を適用する（例：run update-grub）

/etc/default/fsprotect保護したい場合/。

再起動

grubブートローダをパスワードで保護したり、変更を無効にしたりすることもできます。

ここで特定のファイルが変更されないように保護されている場合（例：

chmod ugo-w myfile

例を使用しvi myfileてコマンドを使用して作成しようとすると、これが機能し、:w!内容が myfile変更されます。未修正を検索するには、再起動できますmyfile。

以下の最初の解決策では不可能です。

前（最初）の答え：

はい、これは強力なソリューションであり、うまく動作します！

r/o を有効にする

いくつかのディレクトリをインストールする必要があります。読み書き、おそらく、/varこれは次のように行うことができます。/etc/homeオブまたは同盟。私はこれが好きです他の方法、使用、/dev/shmおよびmount --bind：

cp -a /var /dev/shm/
mount --bind /dev/shm/var /var

static-var/ varにシンボリックリンクを作成する代わりに、以前は通常の操作中に変更する必要がなかったすべてのディレクトリを次のディレクトリに移動できました。

mkdir /static-var
mkdir /static-var/cache
mkdir /static-var/lib
mv /var/lib/dpkg /static-var/lib/dpkg
ln -s /static-var/lib/dpkg /var/lib/dpkg
mv /var/cache/apt /static-var/cache/apt
ln -s /static-var/cache/apt /var/cache/apt
... # an so on

したがって、roから再マウントすると、ほとんどのファイルがRAMに移動され、シンボリックリンクのみがコピーされるため、コピーが大量のスペースを占有しません/var。/dev/shm/static-var

これを詳細に実行するより良い方法は、フルパワーサイクル、一日中作業を実行し、次のコマンドを詳細に実行することです。

find / -type f -o -type f -mtime -1

したがって、読み取り/書き込みパーティションにどのファイルが必要かを確認できます。

記録

このホストには書き込み可能な静的メモリがないため、履歴やその他のログを保存するにはリモートサーバーを設定する必要がありますsyslog。

echo >/etc/syslog.conf '*.* @mySyslogServer.localdomain'

これにより、何らかの理由でシステムがクラッシュした場合に以前の内容がすべて記録されます。

アップグレード中

使用中のアイテムを実行するときにシステムが使用中mount --bind（ダウンタイムを減らすために実行せず）、これらのアップグレードを実行するには、init 1きれいなシステムを再構築する方が簡単です。根、アップグレード可能：

「/」を再度マウントした後読み書きモデル：

mount -o remount,rw /

for mpnt in /{,proc,sys,dev{,/pts}};do
    mount --bind $mnpt /$mnt$mpnt;
    done

chroot /mnt

apt-get update && apt-get dist-upgrade

exit

umount /mnt/{dev{/pts,},proc,sys,}

sync
mount -o remount,ro /

今：

shutdown -r now

Question 2

私は最新のビルドルート（2014-02）についてのみ経験があります。このバージョンでは、設定ファイルで「起動時にルートファイルシステムの読み取り/書き込みを再マウントする」を無効にできます。

BR2_TARGET_GENERIC_REMOUNT_ROOTFS_RW が設定されていません。

ext4/パーティションを読み取り専用として使用するイメージを作成することができたため、システムを取り外してもまったく破損しません。うまく動作するので、ファイルシステムに書き込む必要がない場合は、上記のものよりも簡単な解決策かもしれません（apt -getを参照しているので、Debianシステムである程度動作するようです）。

Answer

私は最新のビルドルート（2014-02）についてのみ経験があります。このバージョンでは、設定ファイルで「起動時にルートファイルシステムの読み取り/書き込みを再マウントする」を無効にできます。

BR2_TARGET_GENERIC_REMOUNT_ROOTFS_RW が設定されていません。

ext4/パーティションを読み取り専用として使用するイメージを作成することができたため、システムを取り外してもまったく破損しません。うまく動作するので、ファイルシステムに書き込む必要がない場合は、上記のものよりも簡単な解決策かもしれません（apt -getを参照しているので、Debianシステムである程度動作するようです）。

組み込み設定に読み取り専用ルートファイルシステムを使用するのは良い考えですか？

答え1

新しい回答（2015-03-22）

前（最初）の答え：

r/o を有効にする

記録

アップグレード中

答え2

関連情報