Forum Debian Users Gang

Mikrotik23 · 2016-09-11 11:59:21

Witam,
poszukuję pomocy w przerobieniu debiana 8 by był tylko do odczytu. Z mint 18 udało mi się i działa bardzo dobrze, użyłem do tego programu "overlayroot".
Chciałbym się dowiedzieć czy komuś udało się przerobić debiana, że po wyłączeniu go system wracał do pierwotnego stanu?

mati75 · 2016-09-11 13:50:54

https://wiki.debian.org/ReadonlyRoot

Jacekalex · 2016-09-11 14:06:28

Root na RO to średni pomysł.

Jak boisz się mrówek terrorystek, które szperają w kompie, to możesz bardzo ładnie zablokować możliwość zapisu w folderach systemowych różnym aplikacjom w RBAC Grsecurity łatwiej, albo w SELinuxie ddduuużżżżoooo trudniej, ale to będzie prawdziwe zabezpieczenie, a nie teoretyczne, jak root na RO.

Możesz też dosyć łatwo tworzyć profile Apparmora, składnia jest dosyć prosta, ale objęcie nimi /sbin/init, żeby pod kontrolą AA był cały system to robota niczym spacerek na księżyc
i z powrotem, zwłaszcza dla kogoś, kto zaczyna takie zabawy.

Pozdro

Ostatnio edytowany przez Jacekalex (2016-09-11 14:10:16)

mati75 · 2016-09-11 14:50:55

Można się jeszcze inaczej bawić. /boot jako ro, filesystem jako squashfs a /home jako overlayfs i inne cuda /tmp /var montowane jak ramdisk

Novi-cjusz · 2016-09-12 11:04:34

Jaka jest roznica miedzy LiveCd a RBAC Grsecurity na zainstalowanym systemie?
Moze SUBGRAPH?

morfik · 2016-09-12 11:23:33

Najprościej to tak jak mati napisał. Zainstalować sobie jakiś system, najlepiej via debootstrap. Wgrać tam wszystkie potrzebne rzeczy via apt-get. Skonfigurować sobie system tak jak ma być i zrobić z całości obraz squashfs. Potem na dysku zrobić strukturę katalogów jak na live cd/dvd/pendrive i system się będzie bootował z dysku tak jakby to był system live. Można by nawet persistence dorobić na osobnej partycji, nawet zaszyfrowany. xD Tylko lepiej mieć jakiś SSD do takiej zabawy, bo na HDD się taki system będzie strasznie wlókł ale będzie o niebo lepiej niż na cd/dvd/pendrive. xD

Mikrotik23 · 2016-09-12 13:58:09

Dzięki za podpowiedzi, widzę że tak łatwo nie jest przerobić system by był tylko do odczytu, tak jak tym programem co podałem w pierwszym poście. Wpadłem na inny pomysł tylko nie wiem czy da się coś takiego zrobić, przygotować własny live cd wgrać obraz iso lub img na dysk i żeby grub go mógł wystartować tak jak płytę lub pendrive?

morfik mógłbyś podać jakieś konkrety, czyli jakiś poradnik czy coś :)

morfik · 2016-09-12 15:50:37

W sumie to ja się tym nie bawiłem, tzn. nie robiłem systemu RO ale robiłem system live i mniej więcej wiem jak procedura stworzenia takiego systemu RO by wyglądała. Jakbym miał wolny dysk SSD to pewnie bym jakieś howto dorobił, a tak to nie mam na czym. xD

Mikrotik23 · 2016-09-12 17:37:13

morfik napisał(-a):
W sumie to ja się tym nie bawiłem, tzn. nie robiłem systemu RO ale robiłem system live i mniej więcej wiem jak procedura stworzenia takiego systemu RO by wyglądała. Jakbym miał wolny dysk SSD to pewnie bym jakieś howto dorobił, a tak to nie mam na czym. xD

A jakiś poradnik lub wskazówki do modyfikacji gotowego live? A czy grub potrafi uruchomić taki system live cd z obrazu na dysku?

Jacekalex · 2016-09-12 18:24:22

Novi-cjusz napisał(-a):
Jaka jest roznica miedzy LiveCd a RBAC Grsecurity na zainstalowanym systemie?
Moze SUBGRAPH?

Zasadnicza, w RBAC możesz ustawić, żeby niektóre procesy administracyjne mogły zapisywać,
np dpkg czy inny instalator pakietów, żeby niektóre pliki konfiguracyjne mogły być aktualizowane, np klient dhcp i /etc/resolv.conf, a cała reszta nie.

Jest też jedna zasadnicza wada Grsecurity RBC, nie da się aktualnie (o ile mi wiadomo, ale może się coś zmieniło niedawno) zamontować żadnego zewnętrznego systemu plików ani zdalnie ani lokalnie, także pendraki, smartfony, tablety i chmury dostępne przez FUSE (np google-drive, dropbox, sshfs ) mają wolne.

Ale jak chcesz totalne bezpieczeństwo, to trzeba troszkę pocierpieć. :D

W dokumentacji wygląda to tak

Mount: requires CAP_SYS_ADMIN, not supported while RBAC is enabled

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2016-09-12 18:34:37)

skullman · 2016-09-12 19:07:50

Mikrotik23 napisał(-a):
A jakiś poradnik lub wskazówki do modyfikacji gotowego live? A czy grub potrafi uruchomić taki system live cd z obrazu na dysku?

Pewnie, że potrafi, wpisz w wyszukiwarkę "GRUB ISO boot".

morfik · 2016-09-12 20:59:16

Mikrotik23 napisał(-a):
morfik napisał(-a):
W sumie to ja się tym nie bawiłem, tzn. nie robiłem systemu RO ale robiłem system live i mniej więcej wiem jak procedura stworzenia takiego systemu RO by wyglądała. Jakbym miał wolny dysk SSD to pewnie bym jakieś howto dorobił, a tak to nie mam na czym. xD
A jakiś poradnik lub wskazówki do modyfikacji gotowego live? A czy grub potrafi uruchomić taki system live cd z obrazu na dysku?

Do systemu live to mam te poniższe artykuły:
https://morfikov.github.io/post/wlasny-system-live- … o-od-podstaw/
https://morfikov.github.io/post/persistence-czyli-z … ystemie-live/
https://morfikov.github.io/post/squashfs-jako-syste … obrazow-live/

Tylko wiesz, są problemy z budowaniem obrazów, coś projekt debian live jakiś kryzys przechodził ostatnio, nie wiem czy wyszedł ale sądząc po tym, że oficjalna strona zniknęła, to raczej nie świadczy za dobrze o stanie projektu.

Poza tym, ja operowałem zawsze na extlinux/syslinux, nigdy nie bawiłem się grubem to nie wiem jak to się tam w nim robi. xD

Novi-cjusz · 2016-09-13 09:41:31

Czy to musi byc programowo RO?
Moze byc sprzetowo, np Debek na pendrive z mechanicznym wylacznikiem funkcji zapisu. TU
Malutki przelacznik na obudowie pena, ktory odlacza pina we wtyczce odpowiedzialnego za zapis.
Kiedys byly takie w niemieckiej sieci " Saturn " pewnie dzisiaj tez gdzies sa tylko trzeba poszukac.
Finalnie efekt powinien byc ten sam, a duzo prosciej.

Ostatnio edytowany przez Novi-cjusz (2016-09-13 09:42:26)

mati75 · 2016-09-13 14:01:47

Pendrive to można jako klucz szyfrujący czy partycję boot użyć. Nośnik z odczytem na poziomie 20 MB/s max to porażka do używania codziennie.

Mikrotik23 · 2016-09-13 20:23:48

Na razie uruchomiłem bootowania live z dysku przez grub i to działa, tylko musiałbym zbudować lub zmodyfikować obraz live pod siebie z własnymi programami i konfiguracjami i to by mi na razie wystarczyło do działania. Tylko jakoś nie mogę poszukać aktualnych poradników tworzenia obrazów live. Słyszałem, że nawet można stworzyć taki obraz z istniejącego systemu.
Mam jeszcze takie pytanie czy ktoś z forumowiczów korzystał na ubunto podobnych systemach z programu "overlayroot" i jak to się sprawuje na systemie?
Morfik dzięki za poradniki na pewno je obadam:)

Ostatnio edytowany przez Mikrotik23 (2016-09-13 20:26:54)

Novi-cjusz · 2016-09-13 22:22:34

mati75 napisał(-a):
Pendrive to można jako klucz szyfrujący czy partycję boot użyć. Nośnik z odczytem na poziomie 20 MB/s max to porażka do używania codziennie.

Interfejs USB 3 daje szybkosc odczytu ok 80 - 120 MB/s TUTAJ

mati75 · 2016-09-13 22:27:46

Novi-cjusz napisał(-a):
Interfejs USB 3 daje szybkosc odczytu ok 80 - 120 MB/s TUTAJ

Kingston osiąga zawrotne 36 MB/s. Sandisk spróbuje kupić, bo akurat mi taki potrzebny.

Jacekalex · 2016-09-13 22:28:54

Novi-cjusz napisał(-a):
mati75 napisał(-a):
Pendrive to można jako klucz szyfrujący czy partycję boot użyć. Nośnik z odczytem na poziomie 20 MB/s max to porażka do używania codziennie.
Interfejs USB 3 daje szybkosc odczytu ok 80 - 120 MB/s TUTAJ

Interfejs USB3 może sobie dawać, sam widziałem jakiegoś takeme pendraka, który na USB3 wyrabiał magiczną prędkość 200 kB/s.

To by było na tyle

morfik · 2016-09-13 23:01:43

Ja mam pendrive kingson data traveler 8G, wyciąga tyle MiB/s ile ma G -- port niebieski. xD

Hepita · 2016-09-13 23:54:22

zależy od pendrive i od tego co kopiujemy
mój pędrak np wyciąga jakieś 100 MBps przy dużych plikach, jednak koło 30-40 przy dużej ilości małych plików.
A samo USB 3.0 z tego co pamiętam wyciąga do 600 MBps - ale nigdy nie widziałem urządzenia które rzeczywiście by miało taką prędkość

Mikrotik23 · 2016-10-09 18:50:29

Witam po przerwie,
mój problem został rozwiązany w 90% tzn. robię system debian live z własnymi ustawieniami i programami i to wszystko działa jak ma, uruchamia się ładnie z dysku przez grub2 na zwykłej partycji i tu dochodzę do problemu z jakim się zmagam. Jak zaszyfruje partycję poprzez LUKS na której jest obraz to grub nie potrafi uruchomić"odnaleźć" obrazu i tu jest pytanie czy idzie skonfigurować grub do odszyfrowania partycji po podaniu hasła przed próbą uruchomienia obrazu lub jakiś inny pomysł uruchomienia iso z zaszyfrowanej partycji?

Novi-cjusz · 2016-10-19 11:44:22

Znalazlem:
http://robotsforroboticists.com/read-operating-systems/

There are several ways of setting up a read only system. You can either have separate partitions (or drives); one for the operating system and software, and then another writable partition for storing files that need to modified by the OS, logs and data. Alternatively the files that need to be writable for the OS and logs can be put on a RAM disk. One useful feature in a RO OS is the ability to switch to a read-write mode so you can make changes, save the changes, and then switch back to the read-only mode (for this reason I do not use UnionFS for this application like some others do).

https://www.srijn.net/2015/02/read-only-root-on-linux/
http://chschneider.eu/linux/thin_client/
Gdybys mial jakies 100% wyniki to zapodaj, mnie tez ten temat interesuje.

Ostatnio edytowany przez Novi-cjusz (2016-10-19 12:13:59)

mati75 · 2016-10-19 11:52:15

Novi-cjusz napisał(-a):
Znalazlem:
http://robotsforroboticists.com/read-operating-systems/

Nie będzie działać ten sposób w jądrami powyżej 4, bo wyleciał aufs z niego.

Novi-cjusz · 2016-10-19 12:21:14

To moze tak: http://www.thelinuxdaily.com/2010/03/merging-or-cre … with-unionfs/
http://www.logicsupply.com/explore/io-hub/how-to-bu … linux-system/

Ostatnio edytowany przez Novi-cjusz (2016-10-19 12:24:27)

Forum Debian Users Gang

Ogłoszenie

#1 2016-09-11 11:59:21

Mikrotik23 - Użytkownik

System do odczytu?

#2 2016-09-11 13:50:54

mati75 - Psuj

Re: System do odczytu?

#3 2016-09-11 14:06:28

Jacekalex - Podobno człowiek...;)

Re: System do odczytu?

#4 2016-09-11 14:50:55

mati75 - Psuj

Re: System do odczytu?

#5 2016-09-12 11:04:34

Novi-cjusz - Użytkownik

Re: System do odczytu?

#6 2016-09-12 11:23:33

morfik - Cenzor wirtualnego świata

Re: System do odczytu?

#7 2016-09-12 13:58:09

Mikrotik23 - Użytkownik

Re: System do odczytu?

#8 2016-09-12 15:50:37

morfik - Cenzor wirtualnego świata

Re: System do odczytu?

#9 2016-09-12 17:37:13

Mikrotik23 - Użytkownik

Re: System do odczytu?

morfik napisał(-a):

#10 2016-09-12 18:24:22

Jacekalex - Podobno człowiek...;)

Re: System do odczytu?

Novi-cjusz napisał(-a):

#11 2016-09-12 19:07:50

skullman - Użytkownik

Re: System do odczytu?

Mikrotik23 napisał(-a):

#12 2016-09-12 20:59:16

morfik - Cenzor wirtualnego świata

Re: System do odczytu?

Mikrotik23 napisał(-a):

morfik napisał(-a):

#13 2016-09-13 09:41:31

Novi-cjusz - Użytkownik

Re: System do odczytu?

#14 2016-09-13 14:01:47

mati75 - Psuj

Re: System do odczytu?

#15 2016-09-13 20:23:48

Mikrotik23 - Użytkownik

Re: System do odczytu?

#16 2016-09-13 22:22:34

Novi-cjusz - Użytkownik

Re: System do odczytu?

mati75 napisał(-a):

#17 2016-09-13 22:27:46

mati75 - Psuj

Re: System do odczytu?

Novi-cjusz napisał(-a):

#18 2016-09-13 22:28:54

Jacekalex - Podobno człowiek...;)

Re: System do odczytu?

Novi-cjusz napisał(-a):

mati75 napisał(-a):

#19 2016-09-13 23:01:43

morfik - Cenzor wirtualnego świata

Re: System do odczytu?

#20 2016-09-13 23:54:22

Hepita - Użytkownik

Re: System do odczytu?

#21 2016-10-09 18:50:29

Mikrotik23 - Użytkownik

Re: System do odczytu?

#22 2016-10-19 11:44:22

Novi-cjusz - Użytkownik

Re: System do odczytu?

#23 2016-10-19 11:52:15

mati75 - Psuj

Re: System do odczytu?