Какие каталоги вы монтируете отдельными физическими разделами на своем домашнем десктопе?

/boot, /boot/efi (кстати, где он?), на некоторых системах ещё и /home. Когда-то держал /usr на отдельном разделе, но позже счёл это излишеством.

Как мне кажется, среди вариантов не хватает ещё и /tmp. Некоторые его в оперативке держат.

К слову, имеются в виду основная система, все домашние или ещё и рабочие? Человек может держать /var отдельно на работе, но в корне - дома.

• /
• /boot
• /boot/efi
• /opt
• /var
• /data

• /boot/efi (FAT);
• /usr/home/${USER} (ZFS dataset с полной передачей прав пользователю, он может создавать/удалять/снапшотить и всё-всё внутри своего датасета);
• /tmp и /var/run на tmpfs;
• Некоторые диры в /var.

Ноут:

 % mount | wc -l
30

Десктоп:

 % mount | wc -l
29

• /boot/efi
• /srv - я туда складываю контент, который точно останется на моем компе

/usr/home/${USER} (ZFS dataset с полной передачей прав пользователю

Зачем ты считаешь ZFS-датасет /usr/home/${USER} отдельным физическим разделом? Он у тебя на базовом физическом уровне? O_o

У нормальных людей все наборы данных (датасеты) вложены в один пул (по дефолту zroot), который создан на третем разделе (partition) – geom ZFS::VDEV list -a и, судя по gpart show, имеющем type freebsd-zfs.

Хотя все итак знают, что у тебя-шизика там совсем-не-дефолт))))

Зачем ты считаешь ZFS-датасет /usr/home/${USER} отдельным физическим разделом?

Затем, что он имеет отдельные свойства.

С точки зрения mount(8) является отдельной сущностью, с точки зрения devfs(5) тоже может быть отдельной сущностью, если является zvol. В моём случае только первое, но это не важно.

У нормальных людей все наборы данных (датасеты) вложены в один пул

Очень зависит от юзкейса, но в большинстве случаев — да.

Хотя все итак знают, что у тебя-шизика там совсем-не-дефолт))))

Если я конкретно знаю что мне нужно и как это лучше реализовать, то я сразу шизик. Ясно-понятно. ☺

Затем, что он имеет отдельные свойства.

Все датасеты имеют отдельные свойства. Тогда перечисляй все остальные, а не только хомяк)) или есть что-то еще, что считает его величество - (/usr/home/${USER}) не таким, как все?

С точки зрения mount(8) является отдельной сущностью

Сфигали? С точки здения CoW – датасеты не являются разделами/томами ну вообще никак. Эти сущности на уровне filesystem, а не разделов. И любой датасет может юзать пространство любого датасета по мере заполнения свободного места во всём пуле.

с точки зрения devfs(5) тоже может быть отдельной сущностью, если является zvol.

zvol и датасеты – это всё filesystem, по возможностям они отличаются только квотами, резервацией и отсутствием mountpoint (=

я сразу шизик

Все мы шизики %)

Сфигали? С точки здения CoW

Я тебе про одно, ты мне про другое.

zvol и датасеты – это всё filesystem

Нет. zvol это блочное устройство, ZFS воспринимает его не как таблицу inode, а как таблицу блоков.

Все мы шизики %)

Amen!

Я просто спрашиваю про одно

Сфигали?

И продолжаю свою мысль про другое

С точки здения CoW

Видишь ли, топикстартеру с такими линуксовыми вариантами ответа в треде (опросе) и тегу «разметка жесткого диска» (который подразумевает определённо журналируемые фс) твой ответ будет немного сбоку.

Но ты всё равно ответь про все остальные датасеты, потому что мне интересно =)

тегу «разметка жесткого диска» (который подразумевает определённо журналируемые фс)

Совсем не подразумевает!

твой ответ будет немного сбоку

Именно поэтому я не стал расписывать всё в деталях, а перечислил только самое жопораздирательное. (=

Но ты всё равно ответь про все остальные датасеты, потому что мне интересно =)

У меня в среднем по 30-40 датасетов на пул. Иногда больше. Иногда сильно больше. zvol обычно не более двух, не считая сервер, где все "диски" виртуалок это zvol’ы. И обычно они размечены в свою таблицу разделов и используются как отдельные диски.

У меня без монтирования zvol’s и nfs на десктопе:

mount | wc -l
      23

У меня больше потому что я половину /var монтирую с разными опциями (например, noexec/nosuid; кроме /var/mail всё с noatime).

/boot/
/boot/efi

Остальное криптораздел с LVM.

Только /boot/efi и /home. Складывать что-то другое на отдельные разделы - усложнять самому себе жизнь.

На /boot лежат ядра и initramfs. На /boot/efi находится esp. /boot выносить на отдельный раздел не обязательно(скорее даже вредно), а /boot/efi необходимо, иначе UEFI загрузка не будет работать.

Некоторые его в оперативке держат

Если не большинство

/boot/
/boot/efi

Остальное криптораздел с LVM.

У меня даже /boot в geli(8) (это типа вашего lvm2), минимальный загрузчик из MBR/UEFI предлагает расшифровать (ключом и паролем), дальше грузит полноценный загрузчик из зашифрованного диска. А эти ваши линуксы так могут? ☺

Ну GRUB имеет minimal LUKS support, хотя не пробовал пока. Думаю протестировать в ближайшее время.

Ну GRUB имеет minimal LUKS support, хотя не пробовал пока. Думаю протестировать в ближайшее время.

А в MBR он поместится? Или хотя бы в ESP без конфигов?

Фишка boot(8) из FreeBSD в том, что голой жопой торчит (в MBR и/или ESP) только самый-самый минимум, снижая поверхность атаки. Выбор и загрузка ядра, выбор пула/датасета для загрузки и прочее происходит уже после расшифровки /boot.

А GRUB2 без конфига и пачки модулей нежизнеспособен. Или я совсем не разобрался.

Ну занимает у меня 6 мегабайт, не вижу большой угрозы в том что конфиг не шифрован, там кроме UUID всё равно ничего нет. А от того что кто-то модифицирует малварью загрузчик есть secureboot.

Ну занимает у меня 6 мегабайт

Да хоть гигабайт, не в этом суть.

не вижу большой угрозы в том что конфиг не шифрован, там кроме UUID всё равно ничего нет

Вот только можно подкинуть в диру с модулями малварь и в конфиг прописать её подгрузку. Не подменяя сами модули и/или загрузчик.

А от того что кто-то модифицирует малварью загрузчик есть secureboot.

А если BIOS+MBR?

Если у меня есть подозрение что мой ноут кто-то трогал, я могу загрузиться в любой лайв (да хоть в DOS) и проверить на соответствие как (p)MBR, так и bootx64.efi. Я могу по хэшам глазами пробежаться, хэшей всего два. Как ты будешь это делать со 100500 модулями GRUB2 — не представляю.

А если BIOS+MBR?

Как там в нулевых?

Если у меня есть подозрение что мой ноут кто-то трогал, я могу загрузиться в любой лайв (да хоть в DOS) и проверить на соответствие как (p)MBR, так и bootx64.efi. Я могу по хэшам глазами пробежаться, хэшей всего два. Как ты будешь это делать со 100500 модулями GRUB2 — не представляю.

Модули подписаны, уязвимость с переполнением буфера пофикшена 3 года назад, и даже если атакующий модифицирует ядро, GRUB2 в любом случае проверит подпись и откажется его грузить. Сломать таким образом Chain of Trust не получится.

А если BIOS+MBR?

Как там в нулевых?

А ты дай мне $400K на новые серверы? (%

Модули подписаны, уязвимость с переполнением буфера пофикшена 3 года назад, и даже если атакующий модифицирует ядро, GRUB2 в любом случае проверит подпись и откажется его грузить.

Весь GRUB2 торчит голой жопой, его весь можно подменить, и уже потом подменять и модули, и ядро.

Весь GRUB2 торчит голой жопой, его весь можно подменить, и уже потом подменять и модули, и ядро.

Подменишь и обломается SecureBoot.

Подменишь и обломается SecureBoot.

А у тебя на многих машинах в BIOS/UEFI стоит пароль на вход или изменение параметров? Я за всё время встречал только две пользовательские (не прод) машины, одна из них моя. Если пароля не стоит, то ничто не мешает отключить SecureBoot. И даже если стоит. (%

/usr /var /tmp /home /home2 (второй диск например)

/boot/efi /home

Зачем их пихать в разные разделы?

/boot выносить на отдельный раздел не обязательно(скорее даже вредно)

Отвалившийся загрузчик из-за отвала rootfs передаёт привет

/boot (ибо надо для efi), /home. Всё.

Также у меня отдельным разделом не весь /var, а конкретно /var/cache/pacman/pkg.

upd: на серверах ещё иногда /srv. Но не на десктопе.

Люди, а зачем вы монтируете /boot/efi?

Потому что так написано в арчевовской вики: https://wiki.archlinux.org/title/GRUB

Переименуй скорее «что то своё» в всё на одном разделе. Хотя у многих без их воли таки есть /boot

Монтирую только свои директории в корне, которые не связаны со стандартной fhs.

/boot/firmware приравниваем к /boot/efi?

Потому что там grub, shim и т.д. Еще fwupdmgr кладет туда обновления.

Автор, а как /boot/efi на x86-64/UEFI не монтировать в что-то своё? Расскажи!

/home конечно. Монтировал бы и /usr, но увы…

При любом изменении PCRы не сойдутся в конце концов

Какое загрузчику дело до rootfs?

Зачем кстати?

sudo sed -i '/\/boot\/efi/d' /etc/fstab

Оу. А где вариант - никаких, весь корень в одном разделе. Бесшабашному человеку и проголосовать негде)

/home, /var Кстати в чем прикол /boot куда то монтировать?

/home /boot /boot/efi – это сейчас стандарт, практически.

О, а научите деревню, зачем /var в отдельный раздел?

О, а научите деревню, зачем /var в отдельный раздел?

потому что его read only не сделать.

Внешние сменные диски, разве что. Ну всякий /boot отдельным разделом сам получается. Остальное от корня.

Вся система на одном разделе. Корень и home на разных сабвольюмах btrfs. В /mnt подмонтировано два раздела с харда и SSD с разными сортами файлопомоек

Я так понял, имелся в виду /boot отдельный от rootfs, поскольку часто /boot оставляют прям в корне, после чего рано или поздно приходит привет в виде нечитаемых модулей/конфигов загрузчика