Re: De l'intétêt de monter /usr en read-only
[EMAIL PROTECTED] (Dominique PARISOT) wrote: C'est une bonne idée pour la sécurité, puisque tu ne peux pas modifier accidentellement de fichiers sur une arborescence en lecture seule (même en root). D'ailleurs on en parle dans le Securing Debian Manual : 4.7.2 Setting /usr read-only http://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html#s4.7
Re: De l'intétêt de monter /usr en read-only
* Charles Plessy [EMAIL PROTECTED] [2003-02-15 23:35] : Bonsoir à tous, Suite à l'acquisition d'un portable la semaine dernière, ma quantité de posts continue à augmenter (voir suite). voici un extrait de ma fstab : /dev/hda7 /usrext2ro 0 2 /dev/hda8 /tmpext2defaults,noatime0 2 /dev/hda9 /varext3defaults,noatime0 2 J'ai mis /usr en ro pour limiter au maximum les accès disque, et noatime ailleurs. Je l'ai laissée en ext2 puisque dans ce cas je n'ai pas besoin de journal. Mais dans ce cas (ro), ça ne change paut-être rien? Avec cette partoche en ro, j'ai de temps en temps des erreurs du genre : max:/etc/kde3/kdm# dpkg-reconfigure -plow kdm rm: cannot remove `/usr/share/applnk/Internet/Debian': Système de fichiers accessible en lecture seulement rm: cannot remove `/usr/share/applnk/System/Debian': Système de fichiers accessible en lecture seulement là je ne comprends pas, d'autant plus que je n'ai rien changé à la configuration de kdm à ce moment. D'où la question : cette idée de mettre /usr en ro est elle fumeuse, et va-t-elle me rapporter plus d'ennuis que d'économies d'énergie? Non, pas du tout, au contraire, c'est une bonne pratique de sécurité. Et oui, cela va probablement t'apporter plus de soucis que d'économies réelles d'énergie (AMA). Il y a déjà eu un article là-dessus dans la DWN 29/2001 (http://www.debian.org/News/weekly/2001/29/) et un message très intéressant d'Anthony Towns (http://lists.debian.org/debian-devel/2001/debian-devel-200111/msg00212.html). Ça date un peu, mais ça vaut toujours le coup d'oeil. Fred
Re: De l'intétêt de monter /usr en read-only
Un des principaux interets est dans le cas ou la machine est fournie a un operateur de type bureautique ou un linux dans une machine dans unite de production. Celui ci n hesitera pas a resetter sauvagement le PC, qui dans le cas d'une partition ext2 pourra eventuellement ne pas redemarrer . Heureusement, le passage a ext3 ou reiser, resout ce probleme, d'autant plus que le passage ext2 - ext3 et vice versa se fait sans soucis. Quant aux economonies d'energie ??? Un PC de base ne consomme guere plus que 2 ampoules de 100watts ... Voila mon opinion, Steph
Re: De l'intétêt de monter /usr en read-only
redemarrer . Heureusement, le passage a ext3 ou reiser, resout ce probleme, d'autant plus que le passage ext2 - ext3 et vice versa se fait sans soucis. Cela signifie-t-il que je n'ai aucun intérêt à rester en ext2? Qu'un ext3 read-only a les mêmes performances en lecture? Quant aux economonies d'energie ??? Un PC de base ne consomme guere plus que 2 ampoules de 100watts ... C'est sur un portable, d'où le noatime sur les partitions en rw. Charles
Re: De l'intétêt de monter /usr en read-only
On Tue, 18 Feb 2003 11:07:34 +0100 Frédéric Bothamy [EMAIL PROTECTED] wrote: D'où la question : cette idée de mettre /usr en ro est elle fumeuse, et va-t-elle me rapporter plus d'ennuis que d'économies d'énergie? Non, pas du tout, au contraire, c'est une bonne pratique de sécurité. Et oui, cela va probablement t'apporter plus de soucis que d'économies réelles d'énergie (AMA). Il y a déjà eu un article là-dessus dans la DWN 29/2001 (http://www.debian.org/News/weekly/2001/29/) et un message très intéressant d'Anthony Towns (http://lists.debian.org/debian-devel/2001/debian-devel-200111/msg00212. html). Ça date un peu, mais ça vaut toujours le coup d'oeil. Bonjour, Je suis entierement d'accord, sur les aspect sécurité... pour les économies d' énergie, je vois moins pourquoi ??? (mais je veux bien une explication) Pour les économies d'énergie (sur portable, bien sûr), j'utilise noflushd pour le disque et je joue sur le throlling et la vitesse du CPU. -- Remi COLETTA .-. /v\ TUX // \\POWERED /( )\ ^^-^^
Re: De l'intétêt de monter /usr en read-only
Le Samedi 15 Février 2003 22:35, Charles Plessy a écrit : max:/etc/kde3/kdm# dpkg-reconfigure -plow kdm rm: cannot remove `/usr/share/applnk/Internet/Debian': Système de fichiers accessible en lecture seulement rm: cannot remove `/usr/share/applnk/System/Debian': Système de fichiers accessible en lecture seulement là je ne comprends pas, d'autant plus que je n'ai rien changé à la configuration de kdm à ce moment. Dans ton exemple, tu viens de lancer la commande dpkg-reconfigure -plow kdm, il est donc normal dans ce cas qu'il s'attende à pouvoir modifier les fichiers de ton arborescence. Dans ton exemple, il essaye de supprimer un fichier `/usr/share/applnk/Internet/Debian'. Dans un livre sur la sécurité informatique, ils expliquent qu'il est bon de mettre en lecture seule le maximum de son arborescence pour des raisons de sécurité, mais qu'il est nécessaire de tout remonter en lecture/écriture dés qu'il faut faire des modifications sur sa configuration (dpkg-reconfigure). D'où la question : cette idée de mettre /usr en ro est elle fumeuse, et va-t-elle me rapporter plus d'ennuis que d'économies d'énergie? C'est une bonne idée pour la sécurité, puisque tu ne peux pas modifier accidentellement de fichiers sur une arborescence en lecture seule (même en root). Quant à l'économie d'énergie ? je ne crois pas que cela changera grand chose ;-) La Knoppix qui est une distribution sur CD-Rom doit être confrontée aux mêmes problèmes... Il faudrait voir comment elle est configurée. -- dOm Marre de Windows ??? Passez à Linux ...
Re: De l'intétêt de monter /usr en read-only
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bon, ben puiske personne reponds, je me permets de donner mon avis perso. voici un extrait de ma fstab : /dev/hda7 /usrext2ro 0 2 /dev/hda8 /tmpext2defaults,noatime0 2 /dev/hda9 /varext3defaults,noatime0 2 J'ai mis /usr en ro pour limiter au maximum les accès disque, et noatime ailleurs. Je l'ai laissée en ext2 puisque dans ce cas je n'ai pas besoin de journal. Mais dans ce cas (ro), ça ne change paut-être rien? Dans le doute tu as raison a mon avis. Avec cette partoche en ro, j'ai de temps en temps des erreurs du genre : max:/etc/kde3/kdm# dpkg-reconfigure -plow kdm rm: cannot remove `/usr/share/applnk/Internet/Debian': Système de fichiers accessible en lecture seulement rm: cannot remove `/usr/share/applnk/System/Debian': Système de fichiers accessible en lecture seulement là je ne comprends pas, d'autant plus que je n'ai rien changé à la configuration de kdm à ce moment. Probablement un cron ou autre qui mets a jour certaines donnees. Logiquement ca ne devait pas etre grave. Rien ne semble justifier qu'un programme ait besoin d'un acces en ecriture sur /usr D'où la question : cette idée de mettre /usr en ro est elle fumeuse, et va-t-elle me rapporter plus d'ennuis que d'économies d'énergie? Moi ca me semble une bonne idee ;) Et un bon moyen de detecter les programmes qui vont des trucs un peu fumeux. Ca permettrait aussi de detecter un rootkit ou autre. Et ca empeche l'utilisateur de tout casser, ce qui peut etre bien pour installer chez un debutant. Au pire faire un script qui fait des liens symboliques vers un /usrrw pour les fichiers sensibles si necessaire. Tiens moi au courant de tes experimentations, ca m'interesse. -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.7 (GNU/Linux) iD8DBQE+T4gS33a3jGkLTgcRAhuBAJ9Hpl3VCMtgY4575+8vamTBGVYNmQCgoZwW nFKUv6CZQOEJ1TV9Vja9FMc= =pksZ -END PGP SIGNATURE-
Re: De l'intétêt de monter /usr en read-only
voici un extrait de ma fstab : /dev/hda7 /usrext2ro 0 2 /dev/hda8 /tmpext2defaults,noatime0 2 /dev/hda9 /varext3defaults,noatime0 2 J'ai mis /usr en ro pour limiter au maximum les accès disque, et noatime ailleurs. Je l'ai laissée en ext2 puisque dans ce cas je n'ai pas besoin de journal. Mais dans ce cas (ro), ça ne change paut-être rien? Dans le doute tu as raison a mon avis. Si je comprends bien le man de mount, noatime permet d'éviter la mise à jour des propriétés date dernier accès, ... La partition étant en ro, cette restrictiona ne concerne que les données ou aussi les infos sur les fichiers ? Je pense que c'est le dernier cas, et donc noatime n'apporterait rien sur le ro. D'où la question : cette idée de mettre /usr en ro est elle fumeuse, et va-t-elle me rapporter plus d'ennuis que d'économies d'énergie? Je me suis penché sur la question dans un cadre légèrement différent. Je me suis demandé quels sont les fichiers sensibles à protéger sur un firewall. J'en ai conclu qu'il y a dans cette partition les /usr/bin et /usr/sbin (peut-etre aussi le /usr/lib). J'avais alors déplacé les fichiers sur une partition en lecture seule, et mis en place un lien : cp -dpR /usr/sbin/* /toto/sbinu rm -rf /usr/sbin ln -s toto/sbinu /usr/sbin puis : mkdir /binu cp -dpR /usr/bin/* toto/binu rm -rf /usr/bin ln -s toto/binu /usr/bin Ainsi, j'avais toujours une arborescence correcte, mais les fichiers sensibles se trouvent en ro. Moi ca me semble une bonne idee ;) Et un bon moyen de detecter les programmes qui vont des trucs un peu fumeux. Ca permettrait aussi de detecter un rootkit ou autre. Et ca empeche l'utilisateur de tout casser, ce qui peut etre bien pour installer chez un debutant. Je pense aussi. Pour les mises à jour par contre, le fait que ces fichiers soient en leture seule, peut poser des problèmes. Tiens moi au courant de tes experimentations, ca m'interesse. Pour ma part, ces manipulations ne m'ont jamais posé de pb. Cordialement, Guillaume LEHMANN Elève Mastaire en Systèmes de Télécommunications et Réseaux Informatiques promo 2003 DESS STRI - Toulouse III site web : http://lehmann.free.fr tél : 05 61 73 19 95
De l'intétêt de monter /usr en read-only
Bonsoir à tous, Suite à l'acquisition d'un portable la semaine dernière, ma quantité de posts continue à augmenter (voir suite). voici un extrait de ma fstab : /dev/hda7 /usrext2ro 0 2 /dev/hda8 /tmpext2defaults,noatime0 2 /dev/hda9 /varext3defaults,noatime0 2 J'ai mis /usr en ro pour limiter au maximum les accès disque, et noatime ailleurs. Je l'ai laissée en ext2 puisque dans ce cas je n'ai pas besoin de journal. Mais dans ce cas (ro), ça ne change paut-être rien? Avec cette partoche en ro, j'ai de temps en temps des erreurs du genre : max:/etc/kde3/kdm# dpkg-reconfigure -plow kdm rm: cannot remove `/usr/share/applnk/Internet/Debian': Système de fichiers accessible en lecture seulement rm: cannot remove `/usr/share/applnk/System/Debian': Système de fichiers accessible en lecture seulement là je ne comprends pas, d'autant plus que je n'ai rien changé à la configuration de kdm à ce moment. D'où la question : cette idée de mettre /usr en ro est elle fumeuse, et va-t-elle me rapporter plus d'ennuis que d'économies d'énergie? Charles
