LINUX.ORG.RU
ФорумAdmin

Десктоп в chroot или как сейчас модно?

 , , , ,


1

3

Поймал себя очередной раз на неправильно выбранном размере для системного раздела. Понятно, что можно загрузиться с live образа и подрастянуть lvm’ом, но дабы избегать подобного действа хотелось бы иметь возможность запускать основную систему в какой-то контролируемой среде. Из того что приходит на ум:

  • виртуализация
  • chroot

Кто как решает эту проблему, и есть ли какие готовые фреймворки/мануалы, чтобы по минимуму играть в пионеров?

Интересует именно решение для desktop, с серверами всё проще, а прокидывать туда разве что видюху надо.

P.S. если кто расскажет как решить средствами lvm без перезагрузки сию досадную неприятность, то я готов изгнать эту бредовую идею обратно на задворки сознания.

★★★★★

Поставь Clear linux, Nixos.
Когда будешь в теме - приходи.

FortyTwo
()

если кто расскажет как решить средствами lvm без перезагрузки

Покажи вывод lsblk -f.

anonymous
()

Борешься с мельницами, загрузись с любого лайва и за 5 минут реши свою проблему.

anonymous
()

виртуализация

Производительность графики покинула чат

chroot

А тут ты банально не сможешь пользоваться systemd, dmidecode и много чего еще.

ArkaDOSik ★★
()
Ответ на: комментарий от dhameoelin

Зачем на десктопе делить диск на разделы?

Ну, по мне, например, полезно ещё иметь /home в качестве отдельного раздела. Тогда при переустановке системы все пользовательские файлы и часть настроек сохраняются. А ещё не программисты могут для усиления безопасности смонтировать /home как noexec.

aureliano15 ★★
()
Ответ на: комментарий от anonymous

Я же не предлагаю её постоянно переустанавливать. Но когда это понадобится, отдельный раздел /home удобнее. Тем более, что при современных размерах дисков это вообще не проблема.

aureliano15 ★★
()

собери всю систему с корнем в рамдиске/интирамдиске. тогда все железные разделы будут в ридонли, катай их хоть в бок хоть в зад.

pfg ★★★★★
()
Ответ на: комментарий от dhameoelin

Зачем на десктопе делить диск на разделы?

Для безопасности. Соблюдения требований DAC: диски с исполняемыми файлами монтируются только для чтения, а диски с изменяемыми файлами монтируются с запретом исполнения. Сегодня в РФ этому уже не учат?

anonymous
()
Ответ на: комментарий от ArkaDOSik

можно использовать systemd-nspawn вместо chroot, будет полноценный инит

Lrrr ★★★★★
()
Ответ на: комментарий от anonymous

диски с исполняемыми файлами монтируются только для чтения, а диски с изменяемыми файлами монтируются с запретом исполнения

А скрипты с «патчем Бармина» куда записываются? И что делать программисту, куда компилировать программы?

anonymous
()
Ответ на: комментарий от anonymous

диски с исполняемыми файлами монтируются только для чтения, а диски с изменяемыми файлами монтируются с запретом исполнения

А скрипты с «патчем Бармина» куда записываются?

В нормальных дистрах скрипты изменяемые пользователем не запустятся. Кажись это даже требование POSIX. Только через конвеер остается возможность.

Если все дыряво, то хотя бы Integryti может запретить исполнять не подписанный скрипт.

И что делать программисту, куда компилировать программы?

Это проблема. Держать 2 компа, один защищенный, для инетов, а другой для компиляции.

anonymous
()

Кто как решает эту проблему, и есть ли какие готовые фреймворки/мануалы, чтобы по минимуму играть в пионеров?

30Гб под root и всё что меняет размер выгнать на отдельный раздел(ы) - /home, /var, /tmp, /usr/src, /usr/portage (или где там скачанные пакеты хранятся)
Ну и LVM - на всякий случай.

Kroz ★★★★★
()
Ответ на: комментарий от anonymous

В нормальных дистрах скрипты изменяемые пользователем не запустятся.

Что даже шелл не работает? sh rm-rf.sh нельзя запустить?

Это проблема.

Поэтому защищаются там, где надо защищаться, а не везде, где вздумается.

anonymous
()
Ответ на: комментарий от aureliano15

Для непрограммистов есть selinux/apparmor с настройками из дистрибутива. И бэкапы от постоянной переустановки системы.

dhameoelin ★★★★★
()
Ответ на: комментарий от anonymous

Сегодня в РФ ничему не учат. Смотрю на приходящих из ВУЗОВ и печалюсь.

BTW, вот ~/.profile тоже не должен обрабатываться?

И надо ли такие сложности на десктопе?

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Для непрограммистов есть selinux/apparmor

И это тоже.

с настройками из дистрибутива.

А разве SELinux уже оптимально настроен из коробки? И как в нём настроить запрет запуска любых программ из домашнего каталога, не запрещая его из /bin и /usr/bin? Или как это сделать в apparmor?

И бэкапы от постоянной переустановки системы.

Ну, одно другому не мешает. Зачем мне что-то восстанавливать из бекапа, если я могу просто не удалять, сделав /home отдельным разделом? :-)

aureliano15 ★★
()

если что-то небольшое запустить

systemd-nspawn --bind-ro=/etc/resolv.conf:/etc/resolv.conf --bind=/boot/:/boot/ --directory=/mnt/ubuntu/
или если нужно все службы запустить
machinectl start ubuntu

why
()
Ответ на: комментарий от Kroz

Вот это кстати годный, интересный сценарий, просто и со вкусом.

pon4ik ★★★★★
() автор топика
Ответ на: комментарий от dhameoelin

я бы сделал для игр фс raid0 без проверки целостности и отключив права доступа и включив небезопасное кеширование и выкл. проверку записи и выставив приоритет в планировщике и т.д. а для важных файлов наоборот, но у меня мало объёма и двигать не хочу разделы, для директорий такое не умею пока

why
()
Последнее исправление: why (всего исправлений: 1)

Понятно, что можно загрузиться с live образа и подрастянуть lvm’ом

Зачем тебе live образ для расширения тома? Это же на лету делается, главное чтобы в группе было свободное место

С уменьшением на лету хуже, но это проблемы не lvm (он-то умеет), а ФС (большинство из которых - нет)

виртуализация, chroot

6 утра, а ты уже пьян?

Смотри, объясняю на пальцах

  1. испльзуешь lvm
  2. оставляешь в VG место про запас
  3. по желанию можешь пощупать btrfs. он умеет online shrink. вместе с lvm сможешь делать вообще что хочешь в любое время

Если тебе мешает кушать фрагментация, можешь сделать pvmove на другой том и обратно

Ещё можешь пощупать zfs, там встроенный lvm ;) и есть online shrink

router ★★★★★
()
Ответ на: комментарий от FortyTwo

Либо ты забыл поставить тег «сарказм», либо мне не нравится твоя морда

router ★★★★★
()
Ответ на: комментарий от anonymous

Сегодня в РФ этому уже не учат?

Молчи, грусть. Знал бы ты, что нам подрядчик забабахал…

router ★★★★★
()
Ответ на: комментарий от anonymous

Что даже шелл не работает? sh rm-rf.sh нельзя запустить?

С /home /tmp /var измененный файл не запустишь или вообще не запустишь, зависит от настроек и методов. POSIX требует не давать всякой дряни запускатса. А ваш дистр POSIX держит?

anonymous
()
Ответ на: комментарий от dhameoelin

Смотрю на приходящих из ВУЗОВ и печалюсь.

Опускайте эти «ВУЗы», в вакансии добавляйте «выпускников: ..... просим не беспокоить. Ректора, деканы посмотрят, может стыдно станет, наймут нормальных преподавателей и выгонят плохих студентов.

В РФ на самом высоком уровне есть поддержка слабых ВУЗов и слабых студентов, - „лучше пусть за партой седят чем на митингах кречат“.

BTW, вот ~/.profile тоже не должен обрабатываться?

Если он подписан надлежащим образом то Integrity разрешит исполнится, а если кто его изменил, то обрабатыватса такой файл не должен.

И надо ли такие сложности на десктопе?

А баш надо на десктопе?

anonymous
()
Ответ на: комментарий от Psilocybe

Есть и другие, но ты их не знаешь.

Монтирование дисков с исполняемыми файлами только для чтения, а дисков с изменяемыми файлами с запретом исполнения - обязательно для рабочих систем.

anonymous
()

/ - ssd

/home - hdd

всё норм.

anonymous
()
Ответ на: комментарий от anonymous

С /home … измененный файл не запустишь

Что даже интерактивный шелл при логине ~/.profile не выполняет?

anonymous
()
Ответ на: комментарий от anonymous

POSIX требует не давать всякой дряни запускатса.

Где в POSIX написано про запрет запуска скриптов, интерпретаторов разных языков?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.