System komplett readonly. Ist das Realisierbar?

[oli_f]

Ich muss für eine Art Clubraum einen Server/Router (Drucker/NAT/firewall/dhcp/ev. apache) realisieren. Jetzt hab ich mir überlegt, da kein Bildschirm drann sein soll, die Leute sicher eh immer zu faul sind den Pc richtig herunterzufahren, und ich keinen grossen, bleibenden Aufwand möchte, einfach das ganze rootfs readonly zu mounten.

Ich habe ein bisschen im Netz gesucht und bin auf Lösungen gestossen wobei nur /tmp, /var und /home auf beschreibbaren Partitionen waren. Also keine Lösung um einfach den Stecker ziehen zu können.

Meine Idee ist nun /var und /tmp als Ramdisk zu realisieren und /home ebenfalls readonly zu mounten. Dann müsste ich aber irgendwie logrotate so konfigurieren, dass die Logs gelöscht werden bevor die Ramdisk volläuft. Oder am besten die ganze Log Funktionalität deaktivieren, geht das? Und wenn ja wie?
Ok ich hätte dann keine Logdaten und keine bleibenden Tempdaten. Ich denke dass kann ich verschmerzen.

(PS ich möchte schon ein Debian. z.B. fl4i bietet mir zuwenig.)

Ist das Vorhaben überhaupt möglich? Oder hat gar jemand hier soetwas am laufen?

gruss oli

[Feuerzwerg]

Prinzipiell ist das schon moeglich. Ich mache es immer so, dass ich eine Ramdisk auf /tmp mounte und dann einige Verzeichnisse da rein kopiere, auf die das System evtl. auch schreibzugriff braucht. Die Originalverzeichnisse habe ich beim Erstellen des Systems verschoben und stattdessen nur noch links nach /tmp/... gesetzt. Um das logging zu deaktivieren kannst du einfach den Link in /etc/rc2.d entfernen. Das waere dann wohl auch ratsam, da ansonsten die Ramdisk ziemlich schnell vollgemuellt werden kann.

[lochkarte]

Ich habe ein bisschen im Netz gesucht und bin auf Lösungen gestossen wobei nur /tmp, /var und /home auf beschreibbaren Partitionen waren.

Kannst du die Links mal posten?
Ich habe es nicht geschafft, / nur ro zu mounten. /var soll rw sein, /tmp ist ein symlink auf /var/tmp, /home mounte ich rw sobald der erste user darauf zugreift, /usr ist fast immer ro.

Mich interessiert aber besonders /. Hintergrund: Wenn man mal wieder neue Dinge einsetzt (Hardware, Kernel, ...) gibts schon mal einen crash oder freeze beim Booten, was teilweise ein ziemlich geschrottetes /-FS hinterlässt, was wiederum die Aktivierung der VG verhindert. Mühselig. Die Reparaturarbeiten würde ich gern minimieren.

[Feuerzwerg]

Ich hab das gerade noch mal aus ein paar relativ Skripten zusammengesucht. Bin mir nicht sicher, ob das wirklich alles ist.

/var/tmp
/var/log
/var/lock
/var/run
/var/spool

Ausserdem hab ich in einem Skript noch /etc drin stehen.

[oli_f]

Ich habe ein bisschen im Netz gesucht und bin auf Lösungen gestossen wobei nur /tmp, /var und /home auf beschreibbaren Partitionen waren.

Kannst du die Links mal posten?

Also ich habe folgendes gefunden:
http://panopticon.csustan.edu/thood/rea ... README.txt
http://rhinohide.cx/fedlinux/Resources/ ... howto.html

Ich werde es wohl folgendermassen realisieren:
-System installieren mit /var als ramdisks und /tmp als symlink auf /var/tmp
-Alles konfigurieren, benötigte Benutzer einrichten
-Log daemon deaktivieren
-Rootfs nur noch readonly mounten

Denke so sollte es auch gehen! Werde meine Resultate dann hier veröfentlichen (Dauert wohl schon noch ein bisschen)

[Shilong]

Also wenn ich dein Problem richtig verstanden habe, scheint mir diese Lösung etwas sehr umständlich....

Jetzt hab ich mir überlegt, da kein Bildschirm drann sein soll, die Leute sicher eh immer zu faul sind den Pc richtig herunterzufahren

Wenn das das einzige ist, dann richte den Rechner doch so ein, dass er via ACPI über den Powerbutton sauber heruntergefahren wird. Ist sehr einfach...

http://www.linux-fuer-alle.de/doc_show. ... 32&catid=4

[KBDCALLS]

Liest sich zwar ganz gut, damit ACPI richtig funktioniert muß man sicher sein das die ACPI Tabellen absolut sauber sind. Und da hackt es wohl häufiger. Da wäre doch ne CD auf Knoppix basierend eine Alternative. Und die kann man sich ja so remastern wie man sie haben will.

[oli_f]

Nun als Rechner dachte ich an ein etwas älteres Modell, mit at Netzteil. Da gibts einfach einen bös gleichgültigen Killerschalter

Aber das kann ja meinem Debian völlig egal sein, denn Probleme entstehen doch nur wenn auf ein Dateisystem geschrieben wird, während ich den Strom kappe. Also ist das doch meinem readonly Dateisystem absolut egal wenn es nicht unmounted wurde, oder nicht?

[KBDCALLS]

Ob das so funktioniert , ist die Frage. Linux braucht ebend doch Schreibzugriff für einiges. Zum Beispiel müssen die .kde Vereichnisse im Home verzeichnis des jeweiligen Users schreibbar sein ansonsten startet KDE nicht. Und an einer CD da kann nichts passieren, Die bootet man und die sieht immer gleich aus , egal was der Vorgänger angestellt hat mit der Arbeitoberfläche.

Code: Alles auswählen

Die Datei "/etc/acpi/events/powerbtn" enthält die folgenden Zeilen:

event=button[ /]power
action=/etc/acpi/powerbtn.sh

Und diese Datei powerbtn gibt es bei micht, obwohl ich einen relativ aktuellen Rechner habe. Und acpi installiert ist.

[lochkarte]

Und diese Datei powerbtn gibt es bei micht, obwohl ich einen relativ aktuellen Rechner habe. Und acpi installiert ist.

Gehört lt. dpkg -S zum Paket acpid.
Ich habe das gestern abend auf meinem Desktop kontrolliert und getestet. Hat anscheinend out of the box funktioniert.

Folgender Ablauf:
- innerhalb der Gnome-Session alle Applikationen beendet (man weiß ja nie... ), aber mich nicht aus Gnome abgemeldet
- Ausschalter gedrückt
- Anzeige schaltet um auf eine ASCII-Konsole (login:), hier waren keine Eingaben möglich, es gab aber auch keinerlei shutdown-Meldungen
- hier blieb der Rechner einige Minuten "hängen", was aber normal wäre, weil er an dieser Stelle meine Datensicherung macht
- er schaltete sich ab.

So weit so gut. Ich habe danach die Kiste nicht wieder angeschaltet, um zu kontrollieren, ob er wirklich einen sauberen shutdown gefahren hat, aber ich gehe davon aus. Wenn nicht, melde ich mich noch einmal.

[KBDCALLS]

Das war ein Satz mit X trotzdem alles installiert ist.

Code: Alles auswählen

 recovering journal

[KBDCALLS]

Das Problem ist das Devicefile apm_bios

Das Krux ist wenn udev läuft wird das device an falscher Stelle angelegt. Und ind .dev anstatt im dev Verzeichnis. Hinzu kommt das udev nach einem Neustart das Device nicht anlegt.

Code: Alles auswählen

root@biljana:/home/matthias# dpkg -l pow*
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Säubern/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/Fehlgeschl. Konf./Halb install.
|/ Fehler?=(keiner)/Halten/R=Neuinst. notw/X=beides (Status, Fehler: GROß=schlecht)
||/ Name               Version            Beschreibung
+++-==================-==================-====================================================
ii  powermgmt-base     1.21               Common utils and configs for power management
root@biljana:/home/matthias# dpkg-reconfigure powermgmt-base
Creating APM device files:
create apm_bios c 10 134 root:root 0660
root@biljana:/home/matthias#

Installiert ist bei mir KDE

[lochkarte]

Code: Alles auswählen

 recovering journal

Ich fürchte, ich kann dir nicht folgen und weiß nicht, was du damit sagen willst.

Code: Alles auswählen

$ dpkg -S powerbtn
acpid: /etc/acpi/events/powerbtn
acpid: /etc/acpi/powerbtn.sh

ii  acpid          1.0.4-1        Utilities for using ACPI power management

[KBDCALLS]

Das heißt das er beim ersten Versuch nicht sauber runtergefahren hat. Da hat ext3 zugeschlagen bei

Code: Alles auswählen

recovering journal

Aber woran es gelegen hat siehe im nächsten Posting. Mal sehen ob man udev mit rules überreden kann das device

Code: Alles auswählen

apm_bios

anzulegen

[Valharis]

Hi,
was hälst du von der Idee den Rechner komplett übers Netz zu booten? Heisst PXE glaube ich. Du bräuchtest natürlich einen anderen Rechner der das System und die Daten über Netzwerk liefert.

Oder da du schon fli4l erwähnt hast, hilft dir eisfair vom gleichen vlt weiter?

MfG
Martin