패키지를 계속 업데이트할 수 있는 "읽기 전용" 파일 시스템 생성

패키지를 계속 업데이트할 수 있는 "읽기 전용" 파일 시스템 생성

내 시스템(raspbian)을 대부분 읽기 전용으로 구성하고 싶습니다. 나는 최신 상태를 유지하기 위해 설치된 모든 중요한 패키지를 업데이트하는 스크립트를 며칠/주마다 실행합니다.

몇 줄만 추가하면 된다고 읽었습니다.

tmpfs   /tmp            tmpfs   nodev,nosuid 0 0
tmpfs   /var/log        tmpfs   nodev,nosuid 0 0
tmpfs   /var/tmp        tmpfs   nodev,nosuid 0 0
tmpfs   /var/cache      tmpfs   nodev,nosuid 0 0
tmpfs   /home/pi/.cache     tmpfs   nodev,nosuid 0 0
# maybe some other dirs as well?

to , /etc/fstab기본값 //bootto 도 설정해야 합니다.ro

또한 명령을 실행하기만 하면 된다는 내용도 읽었습니다.

$ sudo -o remount,rw /
$ sudo -o remount,rw /boot

ro동일한 명령을 업데이트하고 실행할 수 있지만 읽기 전용을 다시 활성화하는 대신 rw.

overlayFS 사용에 대한 내용도 읽었는데 이것이 필요하거나 권장됩니까? 아니면 위의 단계가 내 목표를 달성하기에 충분합니까?

답변1

"읽기 전용" 및 "업데이트 필요"는 논란의 여지가 있는 시스템 요구 사항입니다. 읽기 전용 fs(루트) - 프로덕션에 사용되는 Linux-box 속성입니다. 불필요한 측면 간섭 가능성을 줄입니다. 안정성이 더욱 보장됩니다.

Linux-box 배포판을 구축하는 경우 업데이트해야 합니다.

일반적인 관행 - 개발 플랫폼 루트를 RW에 유지한 다음 릴리스 시 RO에 고정하고 이를 사용하여 여러 문제를 해결합니다(일부 서비스/애플리케이션, 특히 Python 모듈은 RO에 대해 확실히 준비되지 않았습니다).

하지만 시스템이 너무 특별하다면. RO 영역과 RW 영역에 대해 다시 생각해 볼 필요가 있을 것 같습니다. Linux 마운팅 시스템은 매우 유연합니다. /usr/lib/ 또는 기타 콘텐츠의 각 항목을 관리할 수 있습니다. 엄격한 동결 릴리스 = RO 영역 및 업데이트 가능한 릴리스 - RW 영역의 맵을 만듭니다. 업데이트 가능한 항목을 다시 확인하세요. 해커를 방지하기 위한 몇 가지 절차를 마련해 두십시오. 루트 계정 없음, 유출된 액세스 프로토콜 등 없음

관련 정보