Description
- bilibop-lockfs
- verrouiller les systèmes de fichiers et écrire les changements dans la RAM
Si la fonctionnalité « lockfs » est activée (dans un fichier de configuration,
depuis la ligne de commande de démarrage ou par une heuristique), rien ne sera
écrit sur les systèmes de fichiers locaux listés dans /etc/fstab, à
l'exception de ceux qui ont été placès dans une liste blanche, ou des
périphériques d'échange chiffrés.
Le système de fichiers racine est verrouillé (en lecture seule, en utilisant
aufs) par un script initramfs qui modifie aussi le fichier temporaire
fstab pour préparer les autres systèmes de fichiers à être verrouillés
plus tard par un script d'aide à mount.
bilibop-lockfs fournit les fonctionnalités suivantes:
- une politique basée sur le principe de liste blanche: les systèmes de fichiers sur lesquels vous voulez permettre des modifications persistantes doivent être explicitement listés dans un fichier de configuration.
- non seulement les systèmes de fichiers sont en lecture seule, mais aussi les périphériques bloc: cela interdit les modifications de la table des partitions, des secteurs d'amorçage, des en-tête LUKS et des métadonnées LVM.
- la gestion des périphériques d'échange (swap), qui peuvent être utilisés tels quels, manuellement, seulement s'ils sont chiffrés ou pas utilisés du tout.
- des notifications sont affichées au lancement d'une session X à propos du statut des systàmes de fichiers, pour informer l'utilisatrice que des changements volatiles ou persistants sont permis ou non, et où.
Ce paquet peut être utilisé comme une alternative à fsprotect, spécialement pour les systèmes d'exploitation modifiables embarqués sur clef USB; mais il peut aussi être installé sur des ordinateurs publics ou personnels, pour un usage quotidien, des tests ou comme un outil dans une stratégie anti-récupération.