Nocheinmal "mount"

SteWo · 22 Mai 2007

Hallo BSD'ler,

ich muß noch einmal auf eure Expertise zurückgreifen: Es geht um die mount-Optionen in der /etc/fstab(5):

Entsprechend dem in der Manpage angegebenen Beispiel habe ich meine /etc/fstab aufgesetzt, d.h. alle Partitionen sind mit der mount-Option "rw" gemountet, nur /cdrom ist "ro".

Jetzt stelle ich mir die Frage, ob dies undifferenziert zu übernehmen ist. Oder anders: Was spricht dagegen, im Alltag auch die Verzeichnisse /, /etc und /usr "ro" zu mounten und nur im Bedarfsfall einer Installation mittels

Code:

mount -u -w /usr

bzw. nach der Installation mit

Code:

mount -u -r /usr

(und /etc analog) die Schreibberechtigungen zu ändern? Oder sind euch Programme bekannt, die auf diese Verzeichnisse schreibend zugreifen?

Gruß,
SteWo

CommanderZed · 22 Mai 2007

hmmm, ich bin mir jetzt nicht sicher, aber ich meinte mal gehört zu haben *räusper* das man /usr/ tatsächlich ro mounten kann - im zweifel: Probiers doch einfach oO - mehr als schiefgehen kann es nicht, und ne Notfall-Boot-CD kann ja daneben liegen *gg*

Bei /etc bin ich mir nicht sicher, da ich da irgendwas im hitnerkopf hatte, das es da auch nicht gab ... zumal es ja i.A. eh kein eigenständiges Dateisystem ist ...

Den Vorteil sehe ich da jetzt aber nicht drinne, ein einfaches chmod / chown sollte auch die rechte entsprechend setzen können ...

Kamikaze · 22 Mai 2007

Das mit dem /usr -ro mounten habe ich schon probiert. Es wird einfach zu viel dahin geschreiben, zumindest wenn man X verwendet. Es wäre schöne wenn die Programme alles unter /var und /tmp speichern.

SteWo · 23 Mai 2007

Moin!

@kamikaze:
Also, daß /usr sich nur ungern "ro" mounten läßt, mach mich dann doch nachdenklich... Mein Verständnis der Zusammenhänge war bislang, daß die ausführbaren Programm in /usr liegen, sich ggf. ihre Parameter aus /etc holen und evtl. systemseitig benötigte dynamische Angaben (Logs, PID, ...) in /var ablegen. Entsprechend müßten /etc und /var mit der mount-Option "noexec" eingebunden werden, was für /usr keinen Sinn ergibt, Umgekehrt wären bei entsprechend konsequenter Programmierung /etc und /usr mit der mount-Option "ro" zu starten sein, da _eigentlich_ nur nach /var geschrieben werden muß...

@CommanderZed, @kamikaze:
Mache nachher mal einen Kurztest... mal sehen, was dann passiert

Report folgt.

lme · 23 Mai 2007

Kamikaze schrieb:
Das mit dem /usr -ro mounten habe ich schon probiert. Es wird einfach zu viel dahin geschreiben, zumindest wenn man X verwendet. Es wäre schöne wenn die Programme alles unter /var und /tmp speichern.

Wann war das denn? Ich habe davon zuletzt vor ein paar Jahren gehoert und frage mich, ob es immer noch so ist.
Ohne X.org 7.2 haette ich jetzt gesagt, dass man /usr/local auf jeden Fall ro mounten kann, aber das wuerde jetzt ja auch nicht mehr gehen, wenn 7.2 in /usr/local installiert ist und immer noch Dateien erstellt.

Es ging uebrigens damals um die Keyboard Dateien, die beim Start von X in /usr/X11R6/lib/X11... kompiliert wurden.

Kamikaze · 23 Mai 2007

Das liegt hauptsächlich an gnome und KDE mit den globalen cache Dateien, die unverständlicherweise nicht in /var kommen. Das gilt aber auch für apache, der globale Daten auch unter /usr/local/www statt /var/www oder etwas ähnliches installiert. Gleiches gilt for PostgreSQL und squid. Es gibt da also einen ganzen Haufen Übeltäter. Vielleicht sollte man die Maintainer anhalten die Standardkonfiguration solcher Dienste zu patchen.

lme · 23 Mai 2007

Gerade dem Apache ist ja leicht beizubringen, dass er die htdocs in /var/www und nicht in /usr/local/www suchen soll. Squid kann man da auch leicht umkonfigurieren.
Wie es mit PostrgreSQL aussieht, weiss ich nicht und KDE... Das wird wohl ein dicker Brocken Arbeit sein

oenone · 23 Mai 2007

Kamikaze schrieb:
Das liegt hauptsächlich an gnome und KDE mit den globalen cache Dateien, die unverständlicherweise nicht in /var kommen. Das gilt aber auch für apache, der globale Daten auch unter /usr/local/www statt /var/www oder etwas ähnliches installiert. Gleiches gilt for PostgreSQL und squid. Es gibt da also einen ganzen Haufen Übeltäter. Vielleicht sollte man die Maintainer anhalten die Standardkonfiguration solcher Dienste zu patchen.

Die Maintainer haben schon gut gemacht, und zumindest von PostgreSQL kann ich behaupten, ist deine Aussage falsch. Es hat per default seine ganzen Daten in /var. Selbes gilt für Apache, zumindest in der system-version. Apache 2 hab ich noch nicht ausprobiert.

auf bald
oenone

Kamikaze · 23 Mai 2007

Ich habe Postgres mit dem rc.d Skript eingerichtet und das hat bei mir die DB unter /usr angelegt.

oenone · 23 Mai 2007

rc.d gibt es bei openbsd nicht. du musst dich im forum vertan haben.

Kamikaze · 23 Mai 2007

Aargh. Ja das stimmt.

Dinh · 23 Mai 2007

Man könnte einfach 'nen Symlink von /usr/local/www nach /var/www machen...

menace · 23 Mai 2007

Also, mysql, lighttpd und postfix (also der prozess selbst) schreiben nicht nach /usr, aber das finde ich eigentlich ne krasse Sache. ist mir auch noch nicht aufgefallen, sollte aber eigentlich möglich sein oO

oenone · 23 Mai 2007

mir ist keine applikation bekannt, die (unter OpenBSD) nach /usr schreibt...

SteWo · 31 Mai 2007

Feedback

Moin, Moin!

Also, liebe Gemeindemitglieder, wie versprochen möchte ich Euch mit einem kurzen Erfahrungsbericht beglücken:

Ich habe testweise auf meiner Firewall /usr in der /etc/fstab als "ro" gekennzeichnet. Im laufenden Betrieb ergaben sich dadurch KEINERLEI Einschränkungen. Lästig war lediglich, daß man dies jeweils zu bedenken hat, wenn man z.B. aus den ports etwas installieren möchte. Oder wenn ein patch einzuspielen ist... Dann ist jeweils vorher ein

#sudo mount -u -w /usr

fällig. Wie gesagt - lästig, aber im alltag nicht hinderlich.

Als nächstes werde ich meinen Produktiv-Laptop auf die mount-option "ro" hinsichtlich /etc/ und /usr umstellen. (Auf dieser Maschine habe ich auch für /etc eine eigene Partition).

Ich halte euch auf dem laufenden...

LG,
SteWo

[Update/Nachtrag]
Im Thread-Starter hatte ich überlegt auch "/" als "ro" zu mounten. Dies werde ich erst im nächsten Schritt checken. Diese Partition mit der Option "-noexec" zu mounten verbietet sich, da auch /bin und /sbin bei einer Standardinstallation auf der "/"-.Partition gemountet sind.

oenone · 31 Mai 2007

Auf dieser Maschine habe ich auch für /etc eine eigene Partition

Das ist eine sehr sehr schlechte Idee - und da wird dir auch jeder einigermaßen erfahrene Sysadmin von abraten.

Woher weiß denn der Kernel, wo er die /etc partition findet? Von /etc/fstab? Ach, die ist ja noch gar nicht gemountet....

auf bald
oenone

SteWo · 31 Mai 2007

Bingo

Danke für den kleinen Nasenstüber :ugly:

War wohl letzte Nacht etwas zu spät. Anstelle des Laptop habe ich den Test mit einem anderen PC gemacht. Nachdem die Maschine nicht mehr booten wollte, bin ich schlafen gegangen... Dank Dir weiß ich jetzt, daß dies das Beste war, was ich tun konnte.

Na ja, war nur eine zweite, bislang ungenutzte Platte, so daß kein Schaden aufgetreten ist. Habe statt dessen wieder etwas gelernt.

Gruß,
SteWo

nagel · 31 Mai 2007

Kann es sein dass chflags(1) genau das ist wonach du suchst?

SteWo · 31 Mai 2007

Jau

ich denke mal schon... an soetwas hatte ich gedacht. Werde später mal in Ruhe nachlesen.

DANKE für den Tipp!

Gruß,
SteWo

Nocheinmal "mount"

SteWo

OpenBSD User

CommanderZed

OpenBSD User

Kamikaze

Warrior of Sunlight

SteWo

OpenBSD User

lme

FreeBSD Committer

Kamikaze

Warrior of Sunlight

lme

FreeBSD Committer

oenone

Well-Known Member

Kamikaze

Warrior of Sunlight

oenone

Well-Known Member

Kamikaze

Warrior of Sunlight

Dinh

Well-Known Member

menace

Well-Known Member

oenone

Well-Known Member

SteWo

OpenBSD User

oenone

Well-Known Member

SteWo

OpenBSD User

nagel

Well-Known Member

SteWo

OpenBSD User

Wir schützen deine Privatsphäre