Запуск ubuntu с носителя, который смонтирован в режиме ro

[NWH]

  Hi All.

 Постановка задачи:
 Хочу сделать веб сервер на убунте. Ubuntu +  Apache + Php. Баз данных не надо.
 В поисках решения обезапасить себя от взлома сервера  родилась идея: настроить всю систему под конкретное железо, а потом переписать fstab таким образом, чтобы раздел, где располагается Убуната+Апач+ПХП, монтировался в режиме read only. Т.е. надо как бы  "заморозить"  состояние файловой системы.  

 Я понимаю, что на первый взгляд такая система кажется бесполезной, т.к. нельзя создать/изменить/удалить файлы, но мне это и не нужно. Нужен веб сервер с фиксированным набором пхп скриптов. ПХП скрипты  с файловой системой не взаимодействуют. Логи работы сервера и системы  можно вообще не писать.

Конфигурация системы: Ubuntu 10.04 LST (не серверная), файловая система ext4. Железо: AMD Athlon XP 2500+ «Barton», 1Gb Ram.

Первая глупая мысль, которая напрашивается это настроить всю систему с сервером, а потом переписать fstab. Пробовал система не грузится. Я так понимаю, что в процессе работы Ubuntu создает какие-то логи, что-то куда пишет, а тут read only....

Вторая мысль это как-то собрать Live CD/ Live флешка  с уже настроенной системой и с него грузится. Но как его собрать я не знаю и хочется все же с нормального винта грузится, ведь быстрее...

В общем я понимаю, что технически это возможно, а вот как это сделать представляю плохо - не хватает знаний. Хотелось бы услышать мнение специалистов.
Спасибо.

[Sly_tom_cat]

На сколько я знаю (а я знаю не все) в каталоги /var/log, var/run, var/lock, /temp ОС постоянно пишет в процессе работы.

Как вариант решения - вынести весь или частично /var и /tmp на отдельные разделы.

[NWH]

 Вариант переноса /var и  /tmp на другой раздел интересен, попробую. Спасибо.

[RazrFalcon]

Нее... В режиме ридонли система не загрузится никак.

[NWH]

Нее... В режиме ридонли система не загрузится никак.

А как насчет LiveCD? Это ведь запуск системы с носителя, где файловая система в ro.
И я  запускал систему с LiveCD на флешке на машине, на которой не было винта...

[Бумер]

Вариант переноса /var и  /tmp на другой раздел интересен, попробую. Спасибо.

/var и  /tmp можно монтировать в tmpfs
Пользователь решил продолжить мысль 16 Июня 2011, 18:14:01:

А как насчет LiveCD?

   

  mount | grep tmpfs
    udev on /dev type devtmpfs (rw,nosuid,relatime,seclabel,size=508344k,nr_inodes=127086,mode=755)
    tmpfs on /dev/shm type tmpfs (rw,relatime,seclabel)
    tmpfs on /run type tmpfs (rw,nosuid,nodev,noexec,relatime,seclabel,mode=755)
    tmpfs on /sys/fs/cgroup type tmpfs (rw,nosuid,nodev,noexec,relatime,seclabel,mode=755)
    tmpfs on /media type tmpfs (rw,nosuid,nodev,noexec,relatime,rootcontext=system_u:object_r:mnt_t:s0,seclabel,mode=755)
    varcacheyum on /var/cache/yum type tmpfs (rw,relatime,rootcontext=system_u:object_r:rpm_var_cache_t:s0,seclabel,mode=755)
    /tmp on /tmp type tmpfs (rw,relatime,rootcontext=system_u:object_r:tmp_t:s0,seclabel)
    vartmp on /var/tmp type tmpfs (rw,relatime,rootcontext=system_u:object_r:tmp_t:s0,seclabel)
    /tmp on /tmp type tmpfs (rw,relatime,rootcontext=system_u:object_r:tmp_t:s0,seclabel)
    vartmp on /var/tmp type tmpfs (rw,relatime,rootcontext=system_u:object_r:tmp_t:s0,seclabel)

Это с livecd

[Sly_tom_cat]

Есть же хитрые опции монтирования когда поверх ro тома монтируется еще один rw и вся запись идет во второй, а чтение идет с первого если нет более новой записи этой же инфы во втором. Гуглить надо - не помню точно как сие называется.

[alecsartania]

вообще глупая мысль такой защиты.  вероятность слома маловероятна. если это винт и тебя сломали - получили например через дырку в apache рута, то кто запретит перемонтировать на ходу раздел с rw  опцией ?  никто: mount -rempunt
вон древние дыпявые кернелы(которые никогда не обновляются считай) dlinkов и acorp никто не ломает на различных маршрутизаторах, а ваш современный, который обновляется постоянно  кто-то собрется ломать ?

[spk-ubuntu]

NWH, если получится найти решение для данной задачи (ну или хотя бы найти дельные статьи) - отпишись, пожалуйста. мне скоро может понадобиться то же самое - запуск линукс-сервера с гeadonly ФС (правда обусловлено не безопасностью, а тем что работать сервер будет с флэшки и нужно ограничить запись на неё просто чтобы она подольше пожила).

[NWH]

 Вообщем  день экспериментов дал следующие результаты:

 1. Запустить систему с носителя, который ro, МОЖНО.
     Для этого ставим новую Ubuntu и каталоги /var и /tmp монтируем на отдельные логические диски ( спасибо Sly_tom_cat).
     Далее переписываем fstab, так чтобы основной раздел подключался в режиме ro.
     Побочные эффекты: пара сообщений об ошибках (уже не помню каких служб), не запускается Firefox пишет "не могу записать файл .ICEauthority " - я так понимаю  какие-то логи или хистори  FF. Но в целом система загрузилась


2.  alecsartania прав. Вызвав mount -remount под sudo получаем доступ к записи. Увы.

[spk-ubuntu]

Побочные эффекты: пара сообщений об ошибках (уже не помню каких служб), не запускается Firefox пишет "не могу записать файл .ICEauthority " - я так понимаю  какие-то логи или хистори  FF. Но в целом система загрузилась

подозреваю что /home тоже нужно монтировать как tmpfs

2.  alecsartania прав. Вызвав mount -remount под sudo получаем доступ к записи. Увы.

зато если это бездисковая станция, загруженная с cd/dvd-привода, да ещё и вынесенная в dmz...

[RazrFalcon]

подозреваю что /home тоже нужно монтировать как tmpfs

А настройки куда сохранятся будут?

[spk-ubuntu]

А настройки куда сохранятся будут?

туда же - в озу. у Apache + Php в /home настроек быть не должно.

[NWH]

зато если это бездисковая станция, загруженная с cd/dvd-привода, да ещё и вынесенная в dmz...

 CD и DVD -  зло, ибо механика. Есть мысль купить или  сделать самому флешку с возможностью аппаратной блокировки записи. Всю систему кидаем на флешку, замораживаем файловую систему и все ( /var и /tmp попрежнему на винте с rw ).
 Каталог /var/www перенести на флешку и заморозить

[Sly_tom_cat]

Мне кажется /var целиком запихать в tmpfs - это не очень.... Там кой какие настройки все-таки должны сохранятся ИМХО. /var/www уже упомянули.... я бы посоветовал почитать маны по структуре /var и уже потом решать - что куда (что на диск в ro, что на хранилище с rw, а что в tmpfs)
Пользователь решил продолжить мысль 21 Июня 2011, 16:24:30:... хотя.... освежил для себя инфу по /var и вот какую фразу нашел:

"Каталоговая структура /var определяется здесь с той целью, чтобы сделать возможным монтирование каталога /usr в режиме только для чтения. Все, что записывается на диск в процессе выполнения системных операций (в противоположность процессам инсталляции и поддержки программного обеспечения), должно размещаться в каталоге /var."

<взято отсюда: http://www.linux-admin.net.ru/content/230>

Но с другой стороны /var/log могут быть полезны при расследовании краша системы. Т.е. если система вывалится в кернел-паник или просто "упадет" с /var в tmpfs, то потом, днем с огнем не сыскать причину...