Re: De l'intétêt de monter /usr en read-only

To: debian-user-french@lists.debian.org
Subject: Re: De l'intétêt de monter /usr en read-only
From: Guillaume LEHMANN <lehmann@tuxfamily.org>
Date: Sun, 16 Feb 2003 17:39:39 +0100 (CET)
Message-id: <[🔎] 1045413579.3e4fbecbf389b@imp.free.fr>

 >>voici un extrait de ma fstab :
 >>/dev/hda7       /usr            ext2    ro                      0       2
 >>/dev/hda8       /tmp            ext2    defaults,noatime        0       2
 >>/dev/hda9       /var            ext3    defaults,noatime        0       2
 >>J'ai mis /usr en ro pour limiter au maximum les accès disque, et
 >>noatime ailleurs. Je l'ai laissée en ext2 puisque dans ce cas je n'ai
 >>pas besoin de journal. Mais dans ce cas (ro), ça ne change paut-être
 >>rien?
 >
 >
 >  Dans le doute tu as raison a mon avis.
Si je comprends bien le man de mount, noatime permet d'éviter la mise à 
jour des propriétés "date dernier accès", ... La partition étant en ro, 
cette restrictiona ne concerne que les données ou aussi les infos sur 
les fichiers ? Je pense que c'est le dernier cas, et donc noatime 
n'apporterait rien sur le ro.


 >>D'où la question : cette idée de mettre /usr en ro est elle fumeuse,
 >>et va-t-elle me rapporter plus d'ennuis que d'économies d'énergie?
Je me suis penché sur la question dans un cadre légèrement différent. Je 
me suis demandé quels sont les fichiers sensibles à protéger sur un 
firewall. J'en ai conclu qu'il y a dans cette partition les /usr/bin et 
/usr/sbin (peut-etre aussi le /usr/lib).

J'avais alors déplacé les fichiers sur une partition en lecture seule, 
et mis en place un lien :

cp -dpR /usr/sbin/* /toto/sbinu
rm -rf /usr/sbin
ln -s toto/sbinu /usr/sbin

puis :

mkdir /binu
cp -dpR /usr/bin/* toto/binu
rm -rf /usr/bin
ln -s toto/binu /usr/bin


Ainsi, j'avais toujours une arborescence correcte, mais les fichiers 
sensibles se trouvent en ro.

 >
 >
 >  Moi ca me semble une bonne idee ;)
 >  Et un bon moyen de detecter les programmes qui vont des trucs un peu 
fumeux.
 >
 >  Ca permettrait aussi de detecter un rootkit ou autre.
 >
 >  Et ca empeche l'utilisateur de tout casser, ce qui peut etre bien pour
 > installer chez  un debutant.
Je pense aussi. Pour les mises à jour par contre, le fait que ces 
fichiers soient en leture seule, peut poser des problèmes.


 >  Tiens moi au courant de tes experimentations, ca m'interesse.
Pour ma part, ces manipulations ne m'ont jamais posé de pb.

Cordialement,

Guillaume LEHMANN

Elève Mastaire en Systèmes de Télécommunications et Réseaux Informatiques
promo 2003 DESS STRI - Toulouse III
site web : http://lehmann.free.fr
tél : 05 61 73 19 95

Reply to:

Prev by Date: Re: 2 problemes avec mplayer
Next by Date: donne ss10
Previous by thread: Re: 2 problemes avec mplayer
Next by thread: donne ss10
Index(es):
- Date
- Thread