Какие есть способы перевода системы в read-only в Linux?

Question

[Anonymous]

Хочу защитить систему с помощью перевода в read-only. Хоум должен быть в read-write.
Хотел найти утилиту nearly, она похоже, используется в Blend OS. Но в гугле о ней ничего не нашел, очень странно.
Интересует вариант, чтобы я мог переводить в ro, или в rw, при необходимости.

UPD: Нашел в гитхабе BlendOS утилиту nearly, но там в зависимостях пакетник Blend OS - blend, но он мне нафиг не нужен.

Comments

[Adamos]

защитить систему с помощью перевода в read-only

Защитить от чего? От обновлений?

[Anonymous]

Adamos, от моих кривых рук :)))))))

[Adamos]

Никита Савченко, система в кривых руках рута, с одной стороны, все равно в опасности, а с другой - не представляет никакой ценности. Танцы с бубном вокруг странного вряд ли поспособствуют выпрямлению рук больше, чем решение самостоятельно созданных проблем. Даже если придется периодически переустанавливать систему. Хомяк на отдельном разделе позволит переустанавливать ее достаточно безболезненно.

[Anonymous]

Adamos, я просто хочу на всякий случай сделать подобную защиту. Один раз случайно не так команду написал и улетела система.
Но в принципе, я делаю всегда под обычным юзером, только в крайних случаях под рутом, и частенько в контейнерах, изолировано от системы, если боюсь что у меня что то отлететь может

[Anonymous]

позволит переустанавливать ее достаточно безболезненно.

Это да, у меня хомяк отдельно от системы. Однако часто приходится немного чистить конфиги в хоуме, могут иногда сломаться.

[Adamos]

Никита Савченко, истинно говорю вам: попрактикуйтесь лучше в бэкапе.
Это будет перспективнее, чем вязать себе смирительную рубашку.

[vaut]

Никита Савченко, бекапы или снапшоты, не нужно изобретать велосипеды...

[paran0id]

Бэкапьтесь и не сидите под рутом.

[Anonymous]

paran0id, я и так не сижу под рутом. Очень редко.

[Anonymous]

vaut, у меня более 10 миллионов файлов, какие бекапы?
да нет, даже 20.

[paran0id]

Никита Савченко, а без рута вы и так (почти) никуда за пределами своей домашней директории писать не сможете.

[Adamos]

Никита Савченко, не у вас, а у системы. У вас все в хомяке. А с системой у вас задуманное не получится все равно. Либо вы ее админите, либо нет, "на полшишечки" не бывает.
К счастью, достаточно освоить установку/настройку нужного и бэкап необходимого - и даже полная переустановка системы будет отнимать, ну, пару часов. Зато можно перестать беспокоиться и начать жить...

Answer 1

[hint000]

Да не требуется никаких утилит для этого, всё делается стандартными средствами, которые есть в любом Linux.
Откройте в текстовом редакторе /etc/fstab и добавьте через запятую ro в столбце options в строке для /. Пример здесь: https://askubuntu.com/questions/839355/howto-mount...
Сохраните и перезагрузитесь, корневая файловая система будет в readonly.
Но прежде убедитесь, что у вас в отдельные файловые системы вынесены /tmp и /var, чтобы запись туда осталась возможной.

Comments

[Anonymous]

Пожалуйста, поясните мне как потом переводить в read-write без перезагрузки?

[hint000]

Никита Савченко, sudo mount -o remount,rw /

Answer 2

[CityCat4]

Не нужно никаких дополнительных средств, все как написал hint000. Но только сначала внимательно изучите layout - вполне может оказаться, что системе требуется запись в некий каталог за пределами /tmp и /var. Ну и разумеется, установка/обновление программ будет невозможной.

Comments

[Anonymous]

Но только сначала внимательно изучите layout - вполне может оказаться, что системе требуется запись в некий каталог за пределами

Хорошо, только вопрос, как узнать где системе может понадобиться залезть за пределами /var и /tmp. Да и я не собираюсь себя лишать обновлений, я лишь хочу сделать, чтобы можно было спокойно переводить либо в ro, либо в rw.

Answer 3

[Алексей Черемисин]

Рекомендую сделать поверх read-only overlayfs. Скорее всего есть инструкции для вашего дистрибутива

Comments

[Anonymous]

Можете пожалуйста пояснить смысл overlayfs в данной задаче?

[Zerg89]

Никита Савченко, предположу чтоб работало как в livecd изменить можно но без принудительной команды записи изменения не вносятся, после перезагрузки откат к предыдущему состоянию

[Алексей Черемисин]

Никита Савченко, собственно, уже пояснили. Файловая система как-бы записываемая, но не совсем.
Лучше почитать https://itisgood.ru/2022/09/14/%F0%9F%97%84%EF%B8%...

[Anonymous]

Алексей Черемисин, спасибо, правда такой вариант не интересует.