Предложения по настройке среды Linux-машины, как это делает DeepFreeze

322
WorseDoughnut

Для нашего офиса нам нужен парк ноутбуков Kali, которые мы можем предоставить клиентам. Ноутбуки должны функционировать так, как если бы они работали с чем-то вроде «DeepFreeze» от Faronics.

Это означает, что у нас есть (например) диск объемом 120 ГБ, по крайней мере, с 4 разделами:

  • sda1 (загрузочный раздел)
  • sda2 (расширенный)
  • sda5 (своп)
  • sda3 (какой-то защищенный клон / образ sda1)

Цель состоит в том, чтобы иметь возможность загружаться в sda1, работать с клиентом, а затем возвращать sda1 в «чистое состояние», по сути, «перерисовывая», используя сжатое чистое изображение исходного sda1, или даже просто dd-ing sda3 «clean msgstr "раздел над" используемым "разделом в sda1. Кроме того, нам нужно иметь возможность вернуться в чистое состояние, а затем обновить чистое (так как мы используем kali rolling и различное программное обеспечение, которое все еще активно обновляется) для последующего использования (например, как DeepFreeze позволяет вам загружаться в «оттаявший» диск для запуска обновлений, изменения настроек и т. д.).

Я пытался использовать Clonezilla, и он еще не работал в любом качестве с моей стороны. Я пытался настроить fsprotect, но каждый раз он просто не работал.

На данный момент я не ищу программу или сценарий, которые я могу использовать, я бы просто настроил его сам, если есть некоторый уровень «последующих шагов» или сценариев, которые я могу настроить, чтобы мой Легко подкованные сотрудники Linux могут легко перезагрузить машины, не находясь в офисе.

Открыт для любых предложений на данный момент.

4
Почему виртуальная машина не вариант? Ramhound 8 лет назад 0
@ Ramhound Мы не хотим испытывать снижение производительности за запуск некоторых из наших более тяжелых программ внутри ВМ. WorseDoughnut 8 лет назад 0
Вы можете настроить загрузку машины на самой виртуальной машине. Этот способ отделить вашу действительную операционную систему от гостевой ОС. Ramhound 8 лет назад 0
@ Ramhound Разве это все равно не будет работать на виртуальной машине поверх основной ОС? Если это так, см. Мой первый комментарий. WorseDoughnut 8 лет назад 0
"Разве это не будет по-прежнему работать на виртуальной машине поверх основной ОС?" Это разница между гипервизором типа 1 и типа 2. Ramhound 8 лет назад 0
@ Ramhound Разве гипервизоры типа 1 не очень строгие, на каком оборудовании они могут работать? Я также предпочитаю избегать уровня эмуляции в пользу чего-то более «физического», такого как образ диска или LVM. WorseDoughnut 8 лет назад 0
Похоже, вы отказались от идеи, не делая никаких ориентиров. Вы можете просто установить разрешения для образа Linux и установить для группы / пользователя значение, отличное от фактических пользователей компьютеров, что предотвращает изменение образа. Это, конечно, также означает, что не разрешать root или su. Ramhound 8 лет назад 0
@Ramhound Как я уже говорил в OP, у нас работает Kali, кроме пользователей root нет WorseDoughnut 8 лет назад 0
Я действительно не понимаю, в чем твоя настоящая проблема. Разве вы не дали себе решение? Это `dd` слишком медленно, чтобы быть вашим вариантом (и что тогда с partclone)? Или вы не знали, что можете настроить мультизагрузку с помощью grub (или любого загрузчика), чтобы можно было загружаться в «чистый» клон и обновляться соответствующим образом? Вы должны избегать fstab, хотя (так, чтобы никакой конфликт И никаких изменений не требовалось, ваша конфигурация загрузчика будет единственным переключателем) Tom Yan 8 лет назад 0
@ TomYan Я попытался использовать partclone напрямую (после того, как clonezilla не сработал) и столкнулся с некоторыми очень странными проблемами с монтированием (не смог остановить автоматическое монтирование kali в «чистый» раздел на /). Но вы правы, это была моя первая мысль, когда я собирался сделать это, но, поскольку это удалось только эффектно потерпеть неудачу, я надеялся, что есть какая-то альтернатива, о которой я еще не знал. WorseDoughnut 8 лет назад 0
@TomYan, чтобы точнее описать мою проблему здесь: Да, я знаю, что Clonezilla, Partclone или `dd` - это почти наверняка способ сделать это, я не знаю конкретно * как * сделать это и / или какие шаги нужно предпринять, чтобы сделать это. WorseDoughnut 8 лет назад 0
Я думаю, что основная проблема заключается в том, что UUID файловых систем (назовем его FSUUID) станет идентичным, поэтому система может запутаться при монтировании и загрузке, если вы не избегали использовать FSUUID, но использовали PARTUUID (например, уникальный GUID раздела на GPT) вместо этого (например, на grub.cfg). И, как я уже сказал, fstab также следует избегать. Но я не делал ничего подобного раньше, поэтому не могу с уверенностью сказать, что это возможно даже при соблюдении мер предосторожности. Может быть, вы инициализируете (например, systemd) или udev все равно разозлится. Tom Yan 8 лет назад 0
@ TomYan Хорошая идея, я попробую вместо этого использовать PARTUUID, спасибо за советы. WorseDoughnut 8 лет назад 0
Кстати, рассматривал снимки btrfs? Tom Yan 8 лет назад 0
@TomYan Не знаю, что такое btrfs, и его вики тоже не очень хорошо объясняет. WorseDoughnut 8 лет назад 0

1 ответ на вопрос

1
WorseDoughnut

Ради закрытия я вернулся в Клонезиллу и решил свои проблемы, чтобы найти окончательное решение.

Объяснение можно найти на моем другом вопросе Unix / Linux SE:

https://unix.stackexchange.com/questions/271515/linux-mounts-cloned-partition-instead-of-original

Похожие вопросы