Configurando um sistema Linux em estado congelado

tag-icon tag-icon debian security
Configurando um sistema Linux em estado congelado

Tenho alguns servidores onde, para melhorar a privacidade, gostaria de congelar o estado do disco do sistema: ou seja, todos os logs e outras gravações de disco no disco do sistema devem ser salvos na RAM, os dados usados ​​para o que quer que sejam. usado e imediatamente apagado na reinicialização, para que o sistema fique limpo. (Existem outros discos que devemnãoestar congelado; apenas o disco do sistema deve ser congelado)

Qual é a maneira mais fácil de conseguir isso? Considerei usar um ramdisk tmpfs para montar /var/log e /tmp, embora definitivamente estivesse faltando muitas outras pastas tentando montar uma por uma. Há também um programa do qual gostaríamos de fazer backup de logs remotamente, que estávamos pensando em usar systemd_journal_remotepara fazer isso, e presumo que apenas encaminharia os logs do disco RAM conforme eles são gravados.

Responder1

Te sugiro 3 possibilidades:

  1. Para montar a partição raiz (/) como tmpfs no /etc/fstab? /!\ Tome cuidado!! /!\ Uma vez feito isso, você não poderá reverter para um estado de leitura e gravação, a menos que tenha acesso frio ao disco. (De outro sistema operacional - acesso quase físico). Portanto, tenha MUITO CUIDADO para não ficar bloqueado no estado tmpfs para sempre.
  2. Para construir um sistema operacional ativo a partir de seu servidor em execução,por exemplo, usando systemback. A vantagem é que, no final, você terá um sistema operacional ativo onde as modificações não são persistentes durante as reinicializações.
  3. Reproduza o comportamento do sistema operacional Live System tornando a partição do sistema comoSquashFS(que é R/O) e combinando com um sistema de arquivos de montagem união, como UnionFS, OverlayFS ou aufs, para fornecer um ambiente de leitura e gravação para sua distribuição Linux ativa (onde as gravações em disco não persistirão durante as reinicializações). Este é exatamente o mecanismo envolvido na "sugestão 2", e implementado por quase todos os sistemas operacionais Linux ativos para fornecer esse famoso recurso que você está procurando.

Espero que ajude.

informação relacionada