{"id":1437,"date":"2014-03-18T21:23:53","date_gmt":"2014-03-18T19:23:53","guid":{"rendered":"http:\/\/stephane.weblog.starend.org\/?p=1437"},"modified":"2014-03-18T21:23:53","modified_gmt":"2014-03-18T19:23:53","slug":"racine-en-lecture-seule","status":"publish","type":"post","link":"http:\/\/stephane.weblog.starend.org\/?p=1437","title":{"rendered":"Racine en lecture seule"},"content":{"rendered":"

Dans l’article sur la mise en place d’un syst\u00e8me sur deux cl\u00e9s USB interd\u00e9pendantes<\/a>, il \u00e9tait question de faire tourner le syst\u00e8me sur une cl\u00e9 en lecture seule. Il faut notamment que la racine soit sur cette cl\u00e9, mais potentiellement une grande partie du syst\u00e8me pour que cela soit int\u00e9ressant.<\/p>\n

C’est aussi un int\u00e9r\u00eat pour la dur\u00e9e de vie de la cl\u00e9 supportant le syst\u00e8me. La technologie des m\u00e9moires FLASH dans les cl\u00e9s USB ne supporte pas \u00e9norm\u00e9ment de cycles d’\u00e9criture. Ainsi, emp\u00eacher l’\u00e9criture revient \u00e0 r\u00e9duire consid\u00e9rablement ce risque de panne.<\/p>\n

Il y a plusieurs fa\u00e7ons de r\u00e9aliser l’op\u00e9ration :<\/p>\n

    \n
  1. Partitionner le syst\u00e8me de fa\u00e7on \u00e0 avoir certaines parties en lecture seule (\/<\/code>, \/boot<\/code>, \/bin<\/code>, \/usr<\/code>, \/lib<\/code>, \/sbin<\/code>) et d’autres en lecture\/\u00e9criture (\/home<\/code>, \/var<\/code>, \/tmp<\/code>, etc…). CF https:\/\/wiki.debian.org\/ReadonlyRoot<\/a> .<\/li>\n
  2. Utiliser une surcouche au syst\u00e8me de fichier pour que celui-ci soit comme si il \u00e9tait en lecture\/\u00e9criture, mais en fait rien n’est jamais \u00e9crit sur le disque. Toute modification reste en m\u00e9moire vive et est ainsi perdu au red\u00e9marrage. Il faut cependant faire attention dans notre exemple \u00e0 l’occupation de la m\u00e9moire qui va in\u00e9vitablement grossir avec le temps d’utilisation. CF http:\/\/lwn.net\/Articles\/327738\/<\/a> .<\/li>\n
  3. Faire en sorte que les programmes qui \u00e9crivent sur le disque soit n’ai plus besoin de le faire, soit qu’ils soient arr\u00eat\u00e9s ou d\u00e9sinstall\u00e9s. Cela veut dire que certains programmes seront inutilisables parce qu’ils n\u00e9cessitent pour leur fonctionnement d’\u00e9crire (compulsivement).<\/li>\n<\/ol>\n

    Il peut y avoir un probl\u00e8me avec les mots de passes \u00e0 g\u00e9rer. Il est possible de g\u00e9rer plusieurs partitions chiffr\u00e9es sans avoir autant de mot de passe \u00e0 taper qu’il y a de partitions. Une m\u00e9thode, que je n’ai pas essay\u00e9, est de dire \u00e0 cryptsetup<\/code> que le mot de passe est commun \u00e0 plusieurs partitions. Une autre m\u00e9thode est d’utiliser des des mots de passes dans des fichiers (voir un seul) et finalement de ne plus avoir qu’un mot de passe \u00e0 saisir, celui de la partition qui contient les fichiers de mots de passes. Et enfin, on peut utiliser LVM<\/em> par dessus une seule partition chiffr\u00e9e, et sous-partitionner gr\u00e2ce \u00e0 LVM<\/em>. Cette derni\u00e8re solution marche bien et est r\u00e9alisable d\u00e8s l’installation du syst\u00e8me (au moins sous Debian<\/em> et Ubuntu alternate<\/em>).<\/p>\n

    <\/p>\n

    Mise en pratique<\/h2>\n

    On va ici faire un mixe de la surcouche du syst\u00e8me de fichier pour certains dossiers sp\u00e9cifiques et la d\u00e9sactivation des processus ou de leur m\u00e9thode de journalisation.<\/p>\n

    \/var\/log<\/h3>\n

    On va rendre le dossier \/var\/log<\/code> modifiable, mais tout sera d\u00e9tourn\u00e9 vers \/tmp\/log<\/code>. La base des fichiers qui se trouvent r\u00e9ellement dans \/var\/log<\/code> sera bien en lecture seule.<\/p>\n

    Il faut ajouter au cours du processus de d\u00e9marrage :<\/p>\n

    mkdir \/tmp\/log\nmount -t aufs -o br:\/tmp\/log:\/var\/log=ro none \/var\/log<\/pre>\n
    Le script au d\u00e9marrage doit \u00eatre plac\u00e9 avant qu’un d\u00e9mon ne soit lanc\u00e9 et n’utilise le dossier \/var\/log<\/code>, et apr\u00e8s le montage et nettoyage de \/tmp<\/code>.<\/p>\n
    D\u00e9mon rsyslog<\/h3>\n
    A-t-on besoin de garder les journaux ?
    \nSi oui, alors ils vont arriver dans \/tmp\/log<\/code>.
    \nSi non, il suffit de d\u00e9sactiver rsyslog<\/em>.<\/p>\n
    Serveur Xorg<\/h3>\n
    Au lancement du serveur graphique X, celui-ci ouvre un fichier de journalisation \/var\/log\/Xorg.0.log<\/code>.<\/p>\n
    Gestionnaire de connexion GDM<\/h3>\n
    GDM utilise un dossier pour diff\u00e9rentes choses. Il est pr\u00e9f\u00e9rable de monter ce dossier en m\u00e9moire. On va garder le dossier utilis\u00e9 par d\u00e9faut mais le r\u00e9utiliser \u00e0 chaque d\u00e9marrage sans le modifier. Puis on va mettre en place un script au d\u00e9marrage pour initialiser ce dossier en m\u00e9moire et avec un contenu ad\u00e9quat.<\/p>\n
    Commencer par arr\u00eater GDM = revenir en console texte. Ce peut \u00eatre fait avec :<\/p>\n
    service gdm3 stop<\/pre>\n
    Ensuite, on renomme le dossier \/var\/lib\/gdm3<\/code> en gdm3.init<\/code> :<\/p>\n
    mv \/var\/lib\/gdm3 \/var\/lib\/gdm3.init<\/pre>\n
    Cr\u00e9er le fichier de script \/etc\/init.d\/mounttmpfs.sh<\/code> :<\/p>\n
    #!\/bin\/sh\n### BEGIN INIT INFO\n# Provides:          mounttmpfs\n# Required-Start:    mountall-bootclean\n# Required-Stop:\n# Default-Start:     S\n# Default-Stop:\n# Short-Description: Mount tmpfs filesystems.\n# Description:\n### END INIT INFO\n[ ! -d \/var\/lib\/gdm3 ] && mkdir -p \/var\/lib\/gdm3\nmount -n -t tmpfs -o size=1M none \/var\/lib\/gdm3\ncp -rp \/var\/lib\/gdm3.init\/* \/var\/lib\/gdm3\/\ncp -rp \/var\/lib\/gdm3.init\/.[cdfp]* \/var\/lib\/gdm3\/\nchmod Debian-gdm.Debian-gdm \/var\/lib\/gdm3<\/pre>\n
    Le rendre ex\u00e9cutable et l’activer :<\/p>\n
    chmod 755 \/etc\/init.d\/mounttmpfs.sh\nupdate-rc.d<\/pre>\n
    V\u00e9rifier au red\u00e9marrage que dossier a bien \u00e9t\u00e9 remplit. Le montage avec l’option -n fait que ce n’est pas \u00e9crit dans \/etc\/fstab<\/code>… puisque l’on veut \u00e9viter les \u00e9critures inutiles pour rendre le tout en lecture seule. Mais on peut v\u00e9rifier avec la commande mount<\/code> que le montage a march\u00e9.<\/p>\n
    Et apr\u00e8s ?<\/h2>\n
    On peut continuer comme \u00e7a si on a d’autres programmes qui posent probl\u00e8me. On peut mixer diff\u00e9rentes m\u00e9thodes et utiliser le script de d\u00e9marrage pour faire \u00e0 la fois des montages en tmpfs<\/code> et\/ou aufs<\/code>…<\/p>\n","protected":false},"excerpt":{"rendered":"
    Dans l’article sur la mise en place d’un syst\u00e8me sur deux cl\u00e9s USB interd\u00e9pendantes, il \u00e9tait question de faire tourner le syst\u00e8me sur une cl\u00e9 en lecture seule. Il faut notamment que la racine soit sur cette cl\u00e9, mais potentiellement une grande partie du syst\u00e8me pour que cela soit int\u00e9ressant. C’est aussi un int\u00e9r\u00eat pour … Continuer la lecture de Racine en lecture seule<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[43,48,10,11,26],"tags":[81,187,188,338,384,423],"_links":{"self":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts\/1437"}],"collection":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1437"}],"version-history":[{"count":0,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts\/1437\/revisions"}],"wp:attachment":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1437"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1437"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1437"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}