Intérêt (ou non) d'une partition / en lecture seule

Le
Stéphane GARGOLY
Bonjour tous les utilisateurs et dveloppeurs de Debian :

Jusqu' prsent et bien que les rpertoires /home, /root, /tmp et /va=
r
soient situs sur des partitions distinctes, la "partition-racine"
(c'est--dire contenant le rpertoire /) a t toujours monte en
lecture-criture.

Par contre, pour Wheezy GNU/Linux (installe, pour l'instant, sur une
machine virtuelle gre par VirtualBox) et avec le mme plan de
partitionnement, je me suis demand si ce serait un bonne ide de
monter la partition / en lecture seule.

Les autres partitions prcites continueront, bien entendu, tre
montes en lecture-criture. ;-)

Note a : la machine sur laquelle est install Debian est un
poste-client directement reli l'Internet et polyvalent mme si, au
niveau du temps que j'y passe, je l'utilise surtout pour la
bureautique et Internet. Ce n'est pas un serveur

Note b : toutes les partitions de Wheezy sont formates avec le
systme de fichiers "ext4". C'est d'ailleurs la premire fois que
j'abandonne ext2, ext3 et mme reiserfs.

Aprs maintes rflexions, j'ai dj relev plusieurs problmes =
(dont,
chaque fois, j'ai trouv une solution) et, pour certains d'entre
eux, j'ai soulev quelques questions.


Problme n1 : les horodatages d'accs des fichiers, rpertoires, e=
tc
ne peuvent tre mis jour et, videmment, cela va avoir des
consquences pour le service "Popularity Contest".

Solution n1 : renoncer y participer et de dsinstaller le paquet d=
e mme nom.

Question n1a : est-ce que cela peut aussi affecter d'autres services ?

Question n1b : dans le fichier /etc/fstab ( la ligne concernant le
rpertoire /) et en plus de l'option "ro", est-ce que je dois ajouter
l'option "noatime" ou que cela est superflu ?

Question n1c : accessoirement, cela va, parat-il, amliorer les
performances du systme de fichiers mais l'cart est-il si important
que cela ?


Problme n2 : je ne pourrais ni mettre jour (ou supprimer) les
paquets existants ni ajouter d'autres paquets ; de mme, les fichiers
(sous /etc) ne peuvent tre modifis d'une manire ou d'une autre.

Solution n2 : au pralable et en tant qu'administrateur (root), de
passer la premire commande "mount -o remount,rw /" et, une fois que
j'en aurais termin avec toutes ces oprations, de passer la seconde
commande "mount -o remount,ro /"


Problme n3 (qui n'est plus vraiment un) : le fichier /etc/mtab ne
peut tre mis jour chaque montage (et dmontage) d'un systme=
de
fichier.

Solution n3 : depuis Wheezy, ce fichier est, en fait, un lien
symbolique pointant vers /proc/mount.


Problme n4 : toujours sous /etc, les fichiers resolv.conf et adjtime
ne peuvent tre modifis chaque dmarrage de la machine.

Solution n4 : dplacer ces fichiers dans le rpertoire /var/etc -
mais vous pouvez me suggrer d'autre sous-rpertoires de /var - et
crer des liens symboliques (de mme nom) sous /etc.


De manire gnrale, j'ai deux autres questions :
- Qu'en pensez vous de mon ide et de mes solutions ?
- Et, surtout, que voyez-vous d'autres possibles consquences ou
effets de bord auxquels je n'ai pas pens ?

Je vous remercie d'avance de votre attention et de vos ventuels
rponses, conseils, pistes

Cordialement et bientt,

Stphane.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAAqHXE4Q92ry4UpMRCrbksWjDG42+QJ=MApt98cZBys8cG0V9g@mail.gmail.com
Vos réponses Page 2 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Christophe
Le #25835902
Bonsoir,

Le 02/12/2013 19:52, Stéphane GARGOLY a écrit :

Bien déjà, cela évitera les modifications (ou effacements) accidentels
(ou erronés) de fichiers (ou de répertoires) inclus dans un système de
fichiers en lecture seule. Comme il m'arrive de me balader dans des
répertoires comme /etc ou /usr, une fausse manipulation est vite
arrivé même si dans la pratique cela ne m'est jam



... ais arrivé.

Faut déjà être root pour le faire non ? (grands pouvoirs impliquent
grandes responsabilités qu'ils disent ;) ).

Bon OK, peut-être aussi par des failles foireuses, mais bon si la faille
te permet d'aller écrire dans /etc (ou tout autre chemin similaire), y'a
de fortes chances qu'elle te permette aussi de remonter le FS en rw ...
(c'est juste un peu plus long ;) ).

Bien qu'il semble y avoir des trucs et astuces pour remonter en rw et
remonter en ro la ou les partoches dans des cas bien précis, y'a des
moments ou ça doit être tout de même particulièrement contraignant :
typiquement, changer un mot de passe utilisateur depuis un shell.

Au final, comme ça , vu de loin, ça me parait beaucoup plus contraignant
que réellement utile. (et puis comme le dit Bzzz en parallèle , ça
n'empêche pas les commandes malencontreuses sur les seuls fichiers qui
comptent vraiment : les tiens).

Mais il faut avouer que c'est une question très intéressante ;) .

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Stéphane GARGOLY
Le #25835892
Bonjour à tous les utilisateurs et développeurs de Debian :

Tout d'abord, tout mes excuses pour mon précédent courriel tronqué
(qui est à ignorer) : j'ai accidentellement appuyé sur le bouton
"Envoyer" alors que je n'ai pas terminé de le rédiger... ;-)

Le 02/12/2013, moi-meme
c'est pour utiliser un SSD ?



Non, mon ordinateur ne possède que des disques durs de ce qu'il y a
des plus classiques.

Le 02/12/2013, jdd
il faut peut-être se demander dans quel but? manière de calculer un
rapport qualité/prix :-)



Bien déjà, cela évitera les modifications (ou effacements) accidentel s
(ou erronés) de fichiers (ou de répertoires) inclus dans un système d e
fichiers en lecture seule. Comme il m'arrive de me balader dans des
répertoires comme /etc ou /usr, une fausse manipulation peut être vite
arrivé même si, dans la pratique, cela ne m'est jamais arrivé jusqu' à
présent.

Le 02/12/2013, Belaïd
Pour le problème d’installation et de mise à jour (Problème n°2 et Solution
n°2 ci-dessous), Debian fournis grâce a APT et dpkg la possibilité
d'invoquer des commandes shell (dans ton cas remonter une partition) avan t
et après l'installation d'un nouveau paquet. On peut passer des options a
dpkg via le fichier de configuration d'apt /etc/apt/apt.conf ou
/etc/apt/apt.conf.d.

Dans ton cas,pour automatiser le remontage, je pense qu'il faudrait
rajouter dans /etc/apt/apt.conf.d/10fichier par exemple, les lignes
suivantes:

DPkg {
Pre-Invoke {"mount -o remount,rw /"};
Post-Invoke {"mount -o remount,ro /"};
}
Par contre ça peut échouer dans le cas ou on utilise déjà /



Je ne l'ai pas dit mais, pour les installations, les suppressions et
les mises à jour de paquets, j'utilise, de manière interactive,
l'outil "aptitude". Mais je vais jeter un coup d'oeil du coté des
fichiers de configuration d'apt.

Le 02/12/2013, François Boisson
Tu as la possibilité d'utiliser aufs. Voir
http://boisson.homeip.net/aufsroot.html



Bon, je vais également jeter un coup d'oeil à ce lien que tu as
indiquer pour si cela présente un quelconque intérêt pour moi.

Le 02/12/2013, Bzzz
On Mon, 02 Dec 2013 18:43:22 +0100
Yannick VOYEAUD
Moi aussi je me pose la question de l'intérêt de la chose!
Quel est le but recherché?
Pourquoi cette recherche?

Les tenants et les aboutissants de la question du sujet ne sont pas
évidents au vu du message.



Mais, ça n'est pas ton problème!

Ton problème consiste à aider l'OP à faire n'importe quoi,
et à le faire bien ;P)



Gros malin, va ! :-p

Cordialement et à bientôt,

Stéphane.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAAqHXE5SXoNjhWJci9RUTEK2yNsQsy0rtb23QfzD+
Bzzz
Le #25836072
On Mon, 02 Dec 2013 20:14:15 +0100
Christophe
et puis comme le dit Bzzz en
parallèle , ça n'empêche pas les commandes malencontreuses sur les
seuls fichiers qui comptent vraiment : les tiens).



Ha naaan, j'ai fais BCP mieux: le rm -r * s'est fait sur la racine
et j'étais root (pas près de l'oublier, celle-là).

--
<Pif> putain je hais le code
<Pif> et je confond encore droite et gauche
<Bibi> .. Et en quoi t'a besoin de reconnaitre la droite
de la gauche quand tu code ?
<Pif> quand je code de la route oui
<Bibi> Effectivement ...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Stéphane GARGOLY
Le #25836132
Bonjour à tous les utilisateurs et développeurs de Debian :

Le 02/12/2013, Christophe
Faut déjà être root pour le faire non ? (grands pouvoirs impliquent
grandes responsabilités qu'ils disent ;) ).



Tout à fait juste et il m'arrive de me "balader" à travers
l'arborescence sous ce compte. Mais qu'on se rassure, j'évite autant
que possible le compte administrateur - je ne suis ni fou ni idiot -
et si je suis contraint de passer je ne sais quelle(s) commande(s)
sous "root", j'y vais toujours avec les mains... tremblantes. :-)

Bien qu'il semble y avoir des trucs et astuces pour remonter en rw et
remonter en ro la ou les partoches dans des cas bien précis, y'a des
moments ou ça doit être tout de même particulièrement contraignan t :
typiquement, changer un mot de passe utilisateur depuis un shell.



C'est que j'ai implicitement reconnu dans mon message qui a lancé ce
fil de discussion - voir paragraphes concernant le "Problème n°2".
Cela dit, la sécurité des données (fichiers, répertoires) n'est jam ais
gratuite et on peut faire des choix, de préférence en toute
connaissance de cause.

J'ajoute que je suis assez méfiant de moi-même et que j'ai toujours en
mémoire l'adage que j'ai trouvé dans le mémento "Unix/Linux" (chez
Eyrolles) : "Il existe deux catégories d'administrateurs : ceux qui
ont déjà fait "rm -rf /" et ceux qui le feront".

Je précise que je ne fait pas partie de la première catégorie. o:-)

Au final, comme ça , vu de loin, ça me parait beaucoup plus contraign ant
que réellement utile. (et puis comme le dit Bzzz en parallèle , ça
n'empêche pas les commandes malencontreuses sur les seuls fichiers qui
comptent vraiment : les tiens).



D'où l'intérêt d'une politique de sauvegarde bien suivie, ce que soit
au niveau des entreprises ou des administrations qu'au niveau d'un
simple particulier...

Mais il faut avouer que c'est une question très intéressante ;) .



Et qui peut éventuellement amener à un débat sans fin...

Cordialement et à bientôt,

Stéphane.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAAqHXE45YvHz5t0owXx-E9wNGQR71KFj67pC+NeKTsK++rF+
Pascal Hambourg
Le #25836372
Stéphane GARGOLY a écrit :

Jusqu'à présent et bien que les répertoires /home, /root, /tmp et /var
soient situés sur des partitions distinctes, la "partition-racine"
(c'est-à-dire contenant le répertoire /) a été toujours montée en
lecture-écriture.



Le contenu de /root ne devrait pas être sur un système de fichiers
distinct du système de fichier racine, il devrait rester accessible même
avec un système dégradé où seule la racine est montée. En revanche /usr
peut (encore, mais peut-être plus pour longtemps) être séparé et monté
en lecture seule la plupart du temps.

Par contre, pour Wheezy GNU/Linux (installée, pour l'instant, sur une
machine virtuelle gérée par VirtualBox) et avec le même plan de
partitionnement, je me suis demandé si ce serait un bonne idée de
monter la partition / en lecture seule.


[...]
Question n°1a : est-ce que cela peut aussi affecter d'autres services ?



Tous les services susceptibles d'écrire dans /etc.

Problème n°2 : je ne pourrais ni mettre à jour (ou supprimer) les
paquets existants ni ajouter d'autres paquets ; de même, les fichiers
(sous /etc) ne peuvent être modifiés d'une manière ou d'une autre.

Solution n°2 : au préalable et en tant qu'administrateur (root), de
passer la première commande "mount -o remount,rw /" et, une fois que
j'en aurais terminé avec toutes ces opérations, de passer la seconde
commande "mount -o remount,ro /"



C'est déjà ce qu'on fait quand /usr est monté en lecture seule.

Problème n°4 : toujours sous /etc, les fichiers resolv.conf et adjtime
ne peuvent être modifiés à chaque démarrage de la machine.



Ce ne sont pas les seuls fichiers dans /etc susceptibles d'être
modifiés. On a évoqué passwd, shadow...

Solution n°4 : déplacer ces fichiers dans le répertoire /var/etc -
mais vous pouvez me suggérer d'autre sous-répertoires de /var - et
créer des liens symboliques (de même nom) sous /etc.



Mauvaise idée AMA. On peut avoir besoin de ces fichiers avant que /var
soit montée voir si /var ne se monte pas pour quelque raison que ce
soit. D'autre part, le principe du symlink ne prend pas en compte les
fichiers devant être créés et/ou supprimés.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sébastien NOBILI
Le #25836412
Le lundi 02 décembre 2013 à 19:15, Stéphane GARGOLY a écrit :
> Dans ton cas,pour automatiser le remontage, je pense qu'il faudrait
> rajouter dans /etc/apt/apt.conf.d/10fichier par exemple, les lignes
> suivantes:
>
> DPkg {
> Pre-Invoke {"mount -o remount,rw /"};
> Post-Invoke {"mount -o remount,ro /"};
> }
> Par contre ça peut échouer dans le cas ou on utilise déjà /

Je ne l'ai pas dit mais, pour les installations, les suppressions et
les mises à jour de paquets, j'utilise, de manière interactive,
l'outil "aptitude". Mais je vais jeter un coup d'oeil du coté des
fichiers de configuration d'apt.



Pas de problème, ces commandes sont lancées avant le démarrage de dpkg, que tu
utilises aptitude ou apt-get.

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sébastien NOBILI
Le #25836402
Le lundi 02 décembre 2013 à 17:53, moi-meme a écrit :
Le Mon, 02 Dec 2013 11:40:02 +0100, nb a écrit :

> C'est ce que j'ai fait sur un RPi, car j'en avais marre des corruptions
> de fs multiples.

Avec les manips bizarres que je fais, certaines fois je lui coupe l'alim
brutalement.

bizarre jamais eu d'emm...



Le mien a sa racine sur un partage NFS et aucun souci !

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
nb
Le #25836422
Le 02-12-2013 23:34, Sébastien NOBILI a écrit :
Le lundi 02 décembre 2013 à 17:53, moi-meme a écrit :
Le Mon, 02 Dec 2013 11:40:02 +0100, nb a écrit :

> C'est ce que j'ai fait sur un RPi, car j'en avais marre des corruptions
> de fs multiples.

Avec les manips bizarres que je fais, certaines fois je lui coupe
l'alim
brutalement.

bizarre jamais eu d'emm...



Le mien a sa racine sur un partage NFS et aucun souci !



Je n'ai eu le pb que sur des cartes SD. Et encore, d'un modèle à
l'autre, la fréquence n'était pas la même.
Depuis que je suis en RO sur la carte, avec /boot dessus, et un disque
usb, tout roule.
C'est plus volumineux, mais je voulais en fait un petit serveur.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
moi-meme
Le #25836632
Le Mon, 02 Dec 2013 20:10:02 +0100, Bzzz a écrit :

Mettre des partitions en R/O ne te protégera en rien tant que tu n'auras
pas fais la connerie de l'année avec tes grosses mimines pleines de
doigts.

Alors, laisse couler, fais ta connerie, et je te garantie que tu ne la
refera pas deux fois.



et les sauvegardes docteur ?

Moi aussi j'ai fait le c... (comme tout le monde).
Maintenant quand je recommence je vais récupérer dans le NAS vite fait.

(ne pas faire des sauvegardes tous les 6 mois)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/529d2ce9$0$2045$
Bzzz
Le #25836622
On 03 Dec 2013 00:59:21 GMT
moi-meme
et les sauvegardes docteur ?



Cha va de choi:)

--
[03:54] <Bainos> Tiens une news sur JVC comme quoi jouer nuit au sommeil
[03:54] <Bainos> Pff c'est n'importe quoi...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme