теперь могу ответить на вопрос чем оно лучше.

mkbootstrap: ничем. «за уши» можно притянуть поддержку CRUX, ко всем этим остальным бутстраперам. всё остальное тоже самое, мульти-архитектурность это заслуга бутстраперов и самих дистрибутивов. не mkosi.

mkinitramfs: большая гибкость в выборе того, что будет загружено. это может быть initrd сам по себе маленький, может быть отдельная система как initrd, может быть initrd с системой внутри который подгружает систему отдельными «слоями» (директориями) которые вы укажете при создании образа, пожатые squashfs или ещё как-то («как-то» надо ещё сделать :)).

initrd это cpio-архив маленький by-design, а если его ещё пожать xz... я не пробовал через PXE загружать целую файловую систему gpt_ext4, но думаю это плохая мысль. в данном случае ответ очевиден, только голый initrd можно грузить через PXE, и чем меньше, тем лучше. и уже загрузившись в initrd, с нормальными драйверами сетевой карточки, с нормальным TCP/IP условно говоря, — ДОгружать полноценную ОС по сети. а не всё одним файлом. короче невероятно огромный простор для творчества предлагаю я. в отличии от dracut.

опять же, в мой initrd можно упихать систему. вряд ли авторы dracut сделали что-то подобное, они просто не преследовали те же цели что и я: деплой заранее настроенных линуксов по сети.

mkbootisofs: как вы сами ответили, умеет в ISO, в отличии от.

и ещё плюсик сверху поставьте: написано на POSIX shell, а значит не требует лишних движений для запуска.

а ещё отдельным плюсиком поставьте, поддержка от меня :D

Пусть я не интересуюсь другими дистрибутивами и настройками системы. Т.е. пусть у меня одна система и 2 компа: локалхост (который для пользования и девелопмента), и сервер (ну или ещё, бывает беру флэшку и загружаюсь где-то ещё, но редко). Есть плюсы по сравнению с fsprotect?

mkbootstrap : ну это очень индивидуально. Я вот всё заскриптовал: добавление юзеров, установка пакетов, доустановка само-пред-откомпиленного софта, копирование/редактирование тучи всяких мелких конфиг-файликов повсюду (это главное, пожалуй — море ручной работы), и т.д, и т.п.

mkinitramfs : с fsprotect не надо ничего знать про initrd, всё делается автоматом.

mkbootisofs : это ж разовые действия, скопи-пастить при создании образа системы (=при мажорных обновлениях системы). Пара груб-команд на 10 секунд «1 раз в жизни».

«7 бед 1 ресет» есть, с rm -rf /.

Админю локалхост, серверов нет (выше — я на перспективу писал), но вроде «а диск /dev/vda зашифровать» — тоже без проблем.

kexec ... я не пользуюсь, но как я понял, оно ведь универсально, не зависит от ваших скриптов?

Виртуалки гоняю, очень удобно — именно из-за read-only root, они все грузятся с одной флэшки, и все одинаковые (только в rc.local по-разному кое-что настраивается на виртуалках и реальном железе)

Обновления образа флэшки — из чрута, как обычную систему.

Есть плюсы по сравнению с fsprotect?

PS. Отдельно-лежащие изменённые файлы тоже конечно есть (в /fsprotect/tmp/). Так сохраняюсь по davfs «в облака» (для этого тоже скриптики есть).

Есть плюсы по сравнению с fsprotect?

Очевидно, вы всю работу для себя уже проделали. Тут выше два товарища тоже отписались, каждый нахваливает своё. Ну удачи вам. =)

А вот другие, например, [Как перенести сервер на CentOS 7 с Virtuozzo VPS в Kronos Cloud?] ещё не подозревают: «что? так можно было?»

Глядя в корень проблемы я решил её напролом и результатом стал чудесный boobstrap, который деплоит систему в две команды.

сервак … в squashfs в составе initrd.

Я немного не в теме серверов. По поводу squashfs: эту идею, read-only root, можно рассматривать как «рекомендации лучших собаководов»? Т.е. можно ли резонно предполагать что read-only-root не даст (сильно затруднит) взломщику измененить сам read-only образ?

Тут выше два товарища тоже отписались, каждый нахваливает своё. Ну удачи вам. =)

Ну только не своё наверно, а выбранное из имеющеегося? И не нахваливает, а спрашивает вроде.

Ок, понятно, спасибо. Не, я бы посмотрел конечно. Просто правда не увидел для себя плюсов. Дай думаю спрошу.

А у вас главный плюс — это много дистров и настроек. Может кому это и надо. Я просто не увлекаюсь этим. Стар, ленив.

не даст (сильно затруднит) взломщику измененить

нет, не даст. ты находишься в initramfs, в котором лежит squashfs, монтируешь squashfs в /newroot, делаешь switch_root и назад дороги в initramfs у тебя нет, более того, switch_root удаляет всё, что находилось в initramfs и ты, как и взломщик, остался 1 на 1 с read-only squashfs примонтированным образом.

…и ты, как и взломщик, остался 1 на 1 с read-only squashfs примонтированным образом

Не понял, не пользовался squashfs… Но на всякий случай: пусть я взломал сервер, получил рута, вижу девайсы всякие, типа /dev/sda. Я что, не смогу никак подмонтировать read-write этот «read-only» образ? (ну ясно, что получится хрень, file system - memory cache inconsistency, надо будет как-то быстро ребутить этот горящий танк, но не об этом речь). Или тупо командой dd, никак не смогу ничего записать в /dev/sda?

в /dev/sda сможешь, но squashfs делают файлом. который удаляется после switch_root.

ну собственно у меня там read only root - не самоцель, самоцелью было грузиться с флешки сразу в оперативку не насилуя последнюю логами и временными файлами

А в целом - если использовать правильные политики(например GrSecurity позволял по окончании загрузки системы запретить монтирование и загрузку сторонних модулей ядра) - то да. Можно ли проделать подобное на мэйнстримном SELinux(ибо GrSecurity теперь только за деньги) - без понятия, но скорее да, чем нет.

Просто read only root без запрещения доступа к устройству, откуда он собственно читается повышает безопасность примерно никак, если тебя уже рутанули.

повышает безопасность примерно никак

ну да… спасибо!

BUMP 1.1-rc2

Программа обновилась! Пока это только релиз-кандидат.

Добавлена поддержка busybox.

Хоть я и обещал, что busybox не будет, но это к сожалению вынужденная мера. Если у вас в системе установлен busybox, он будет использоваться, если нет, то будут использоваться стандартные утилиты. С вашей стороны никаких настроек не требуется.

Разницы никакой, но мне был нужен легковесный udev, который есть в busybox: mdev. Тащить целый udev через lddtree я посчитал, что даже для меня это будет слишком. Поэтому busybox.

Теперь система может работать из ISO образа!

Благодаря тому, что появился busybox mdev и теперь создаются /dev-устройства, стало возможным найти системные образы (далее «оверлеи») на других накопителях и работать с ними.

Таким образом, если вы планируете загружаться через PXE, то упаковывайте все оверлеи в initrd образ. Здесь ничего не изменилось.

Если вы планируете использовать ISO, то соответственно указывайте оверлеи при создании ISO. В таком случае для загрузки системы с ISO образа наличие busybox является обязательным.

Благодаря этому мероприятию initrd больше не будет съедать всю оперативную память при использовании системы.

Пример использования нового mkbootisofs, который теперь мало чем отличается от mkinitramfs.

# mkbootisofs ./iso/ --overlay filesystem/ --overlay config/ --squashfs-xz > bootable.iso

Все созданные оверлеи складываются в директорию ./iso/system.

Добавлена утилита mkoverlayfs

Все оверлеи теперь создаются через утилиту mkoverlayfs, формат следующий

mkoverlayfs directory/ --format <format> --output <image>

Где <image> имя файла, куда будет сохранён созданный оверлей.

Где <format> может быть directory, cpio, squashfs и squashfs xz.

directory — формат, при котором директория будет полностью скопирована на носитель. Не рекомендуется для ISO и использовать с осторожностью для INITRD. В случае использования директории потребуется много памяти для загрузки оверлея, умножайте расход памяти на два.

cpio — формат, при котором директория будет сохранена одним архивом. Можно использовать и для ISO, и для INITRD, однако следует учитывать, что при распаковке архива может потребоваться очень много памяти, умножайте расход памяти на два.

Добавлена поддержка новых форматов оверлеев

Теперь оверлей это не только архив из директории, вы так же можете самостоятельно положить настоящую файловую систему в виде файла-образа (дампа) и загрузиться в неё!

Перед тем, как создавать ISO образ, вы можете самостоятельно положить образ файловой системы в директорию system/ будущего образа, и если mount сможет её смонтировать, то такая файловая система будет использована как оверлей!

Рассмотрим простой пример: сделать уже имеющуюся систему загрузочной с диска.

Другой вариант: загрузить систему или перенести систему с хостинга А на хостинг Б и хостинг Ц, а ещё развернуть в своей виртуалке, пожалуйста.

Я предлагаю самое «тупое» решение напролом: снять дамп файловой системы, используя утилиту dd. После чего вы кладёте образ в будущий ISO и затем создаёте его.

# mkinitramfs `mktemp -d` > initrd
# mkdir -p ./iso/boot
# mkdir -p ./iso/system
# mv initrd ./iso/boot/initrd
# mv vmlinuz ./iso/boot/vmlinuz

Далее мы копируем файловую систему с использованием dd if=/dev/sda1 of=filesystem.raw.ext4 и сохряем её в виде файла.

И копируем образ с файловой системой в будущий ISO.

# cp filesystem.raw.ext4 ./iso/system

После чего создаём ISO.

# mkbootisofs ./iso/ > bootable.iso

Теперь загрузившись с bootable.iso на любом устройстве вы загрузитесь прямиком в дамп файловой системы, которую вы сделали!

Вы можете самостоятельно складывать в директорию system/ любые форматы «оверлеев», на текущий момент поддерживаются: директории, cpio архивы, squashfs образы, и образы файловых систем, о которых знает mount. Все они будут смонтированы и загружены как одна цельная система!

... преимущество, boobstrap создаёт initrd используя окружение хост-системы...

... отдать initrd через PXE для загрузки...

Это не будет работать, если архитектура бездисковых рабочих станций будет отличаться от архитектуры «хост-системы».

а такое часто бывает? а какие архитектуры могут использоваться на серверах? а когда серверов, условных «нод», много?

куда мне копать? в сторону кросс-компиляции?

а такое часто бывает?..

Не знаю насколько часто. Рынок завален дешёвыми тонкими клиентами на arm. Там, как правило, уже прошита операционка и RDP клиент, могут грузиться с SD карт, иногда с USB flash. Но PXE загузка - тоже интересный вариант. PXE -> BOOTC/DHCP -> TFTP -> kernel+initrd -> mount NFS root -> и т.д.

куда мне копать? в сторону кросс-компиляции?

Насколько я понял, Ваша цель просто собрать минимальный загрузочный образ. Естественно, уже должно быть что-то, что можно грузить и где-то валяться, допустим в виде каталога с копией rootfs для нужной архитектуры (допустим, какой-нибудь armbian), но chroot туда сделать не получится и хостовый ldd работать не будет. Будет работать objdump -p app. В выхлопе в «Dynamic Section» покажет все нужные библиотеки. Библиотеки тоже могут линковаться с другими библиотеками... Ну, как-то так.

Нужность всего этого сомнительна. Всё это так, чисто умозрительно.

boobstrap v1.1

boobstrap v1.1

Любой GNU/Linux. С любого накопителя. С откатом неудачных конфигураций.

Да, помнится, был случай, когда одну прогу из репозитария популярного дистрибутива вычистили из-за того, что кому-то в её названии сиськи померещились, или я что-то путаю?

Спуф свою в ее честь назвал же.

О как!

У нас тоже есть сиськи и не только http://p0n4ik.tk ты заходи если че

Спасибо проекту FOSSHOST.ORG

Чуваки выделили мне сервер чтобы я там развивал свой проект! 4 ядра, 4 гига, 200гб своп.

http://dl.voglea.com/thank_you_fosshost.png

Ну, на самом деле своп это жёсткий диск, но зачем он мне? Используя свой же бубстрап развернул там систему в tmpfs, загрузившись в initrd через ipxe на системе Proxmox. ;)

Ништяк. Вот, как надо поддерживать проекты. =)

Где брать bootstrap-templates?

И вот эта строчка из «quick start» - booty/tests/crux_gnulinux-download-and-build. Это где такое взять?

В исходном коде - https://github.com/sp00f1ng/booty/archive/1.3.1.tar.gz эти каталоги есть. Не понятно, почему нет в гите.