Re: De l'intétêt de monter /usr en read-only
>>voici un extrait de ma fstab :
>>/dev/hda7 /usr ext2 ro 0 2
>>/dev/hda8 /tmp ext2 defaults,noatime 0 2
>>/dev/hda9 /var ext3 defaults,noatime 0 2
>>J'ai mis /usr en ro pour limiter au maximum les accès disque, et
>>noatime ailleurs. Je l'ai laissée en ext2 puisque dans ce cas je n'ai
>>pas besoin de journal. Mais dans ce cas (ro), ça ne change paut-être
>>rien?
>
>
> Dans le doute tu as raison a mon avis.
Si je comprends bien le man de mount, noatime permet d'éviter la mise à
jour des propriétés "date dernier accès", ... La partition étant en ro,
cette restrictiona ne concerne que les données ou aussi les infos sur
les fichiers ? Je pense que c'est le dernier cas, et donc noatime
n'apporterait rien sur le ro.
>>D'où la question : cette idée de mettre /usr en ro est elle fumeuse,
>>et va-t-elle me rapporter plus d'ennuis que d'économies d'énergie?
Je me suis penché sur la question dans un cadre légèrement différent. Je
me suis demandé quels sont les fichiers sensibles à protéger sur un
firewall. J'en ai conclu qu'il y a dans cette partition les /usr/bin et
/usr/sbin (peut-etre aussi le /usr/lib).
J'avais alors déplacé les fichiers sur une partition en lecture seule,
et mis en place un lien :
cp -dpR /usr/sbin/* /toto/sbinu
rm -rf /usr/sbin
ln -s toto/sbinu /usr/sbin
puis :
mkdir /binu
cp -dpR /usr/bin/* toto/binu
rm -rf /usr/bin
ln -s toto/binu /usr/bin
Ainsi, j'avais toujours une arborescence correcte, mais les fichiers
sensibles se trouvent en ro.
>
>
> Moi ca me semble une bonne idee ;)
> Et un bon moyen de detecter les programmes qui vont des trucs un peu
fumeux.
>
> Ca permettrait aussi de detecter un rootkit ou autre.
>
> Et ca empeche l'utilisateur de tout casser, ce qui peut etre bien pour
> installer chez un debutant.
Je pense aussi. Pour les mises à jour par contre, le fait que ces
fichiers soient en leture seule, peut poser des problèmes.
> Tiens moi au courant de tes experimentations, ca m'interesse.
Pour ma part, ces manipulations ne m'ont jamais posé de pb.
Cordialement,
Guillaume LEHMANN
Elève Mastaire en Systèmes de Télécommunications et Réseaux Informatiques
promo 2003 DESS STRI - Toulouse III
site web : http://lehmann.free.fr
tél : 05 61 73 19 95
Reply to: