Verder Terug Inhoud

4. Bouwen van een root bestandssysteem

Het aanmaken van het root-bestandssysteem bestaat uit het selecteren van de bestanden die nodig zijn om het systeem te draaien. In deze sectie wordt beschreven hoe een gecomprimeerd bestandssysteem gebouwd kan worden. Een minder algemene optie bestaat uit het bouwen van een ongecomprimeerd bestandssysteem op een diskette dat direct als root wordt gemount; dit alternatief wordt in de sectie Non-ramdisk Root Filesystem beschreven.

4.1 Overzicht

Op een root-bestandssysteem moet al datgene voorkomen wat nodig is om een volledig Linux-systeem te ondersteunen. Hiervoor moeten op de disk de minimum-vereisten voor een Linux-systeem worden opgenomen:

Uiteraard is ieder systeem slechts dan van nut als je er iets onder kunt draaien, en een root-diskette komt meestal alleen van pas als je iets kunt doen als:

We zullen beschrijven hoe een gecomprimeerd bestandssysteem te bouwen, het wordt zo genoemd omdat het op disk is gecomprimeerd en bij het booten op een ramdisk wordt gedecomprimeerd. Met een gecomprimeerd bestandssysteem kunnen er veel bestanden (bij benadering zes megabytes) op een standaard 1440K diskette passen. Omdat het bestandssysteem veel groter is dan een diskette, kan het niet op de diskette worden gebouwd. We moeten het elders bouwen, het comprimeren, en dan naar de diskette kopiëren.

4.2 Aanmaken van het bestandssysteem

Om een dergelijk root-bestandssysteem te bouwen, heb je een reserve device nodig welke groot genoeg is om alle bestanden voor compressie te kunnen bevatten. Je zal een device nodig hebben dat capabel is om ongeveer vier megabytes te kunnen bevatten. Er zijn verscheidene mogelijkheden:

Nadat je voor één van deze opties hebt gekozen, bereid je het DEVICE voor met:

        dd if=/dev/zero of=DEVICE bs=1k count=3000

Dit commando vult het device op met nullen. Deze stap is belangrijk omdat het bestandssysteem op het device later zal worden gecomprimeerd, dus alle ongebruikte delen zouden voor het behalen van een maximale compressie met nullen moeten worden opgevuld.

Maak vervolgens het bestandssysteem aan. De Linux-kernel herkent twee typen bestandssystemen voor root-disks om automatisch naar ramdisk te worden gekopieerd. Dit zijn minix en ext2, waarvan ext2 het voorkeursbestandssysteem is. Bij het gebruik van ext2, kan het zijn dat je het handig vindt, met de optie -i meer inodes dan de standaard op te geven; -i 2000 wordt aanbevolen, zodat je geen tekort zal hebben aan inodes. Als alternatief kan je op veel inodes besparen door veel van de onnodige /dev-bestanden te verwijderen. mke2fs zal standaard 360 inodes op een 1.44Mb diskette aanmaken. Ik bemerk dat 120 inodes op mijn huidige root-diskette ruim voldoende is, maar als je alle devices in /dev opneemt, dan zal het de 360 makkelijk overschrijden. Het gebruik van een gecomprimeerd root-bestandssysteem staat een groter bestandssysteem toe, en vandaar standaard meer inodes, maar mogelijk moet je toch het aantal bestanden nog verminderen of het aantal inodes verhogen.

Dus het commando dat je gebruikt, zal er ongeveer zo uitzien:

        mke2fs -m 0 -i 2000 DEVICE

(Als je een loopback-device gebruikt, zal het te gebruiken diskbestand moeten worden opgegeven in plaats van dit DEVICE, mogelijk vraagt mke2fs om bevestiging).

Het commando mke2fs zal de beschikbare ruimte automatisch detecteren en zichzelf dienovereenkomstig configureren. De -m 0 parameter voorkomt dat het ruimte voor root reserveert, en zorgt daarom voor meer bruikbare ruimte op de disk.

Mount vervolgens het device:

        mount -t ext2 DEVICE /mnt

(Je moet een mountpoint /mnt aanmaken als het nog niet bestaat). In de resterende secties wordt aangenomen dat alle doeldirectory's zich relatief ten opzichte van /mnt bevinden.

4.3 Het bestandssysteem vullen.

Hier is een redelijke minimumset aan directory's voor je root-bestandssysteem:

(De hier gepresenteerde directory-structuur is alleen voor het gebruik van een root-diskette. Echte Linux systemen hebben een complexere en gedisciplineerde set gedragslijnen, genaamd de Filesystem Hierarchy Standard, voor het vaststellen waar de bestanden thuishoren).

Drie van deze directory's zullen leeg zijn op het root-bestandssysteem, dus die hoeven alleen maar met mkdir te worden aangemaakt. De /proc directory is in wezen een stub waaronder het proc bestandssysteem wordt geplaatst. De directory's /mnt en /usr zijn slechts mountpoints voor gebruik als het boot/root systeem éénmaal draait. Vandaar nogmaals, hoeven deze directory's slechts te worden aangemaakt.

De resterende vier directory's worden in de volgende secties beschreven.

/dev

Een /dev directory met voor alle devices een speciaal bestand om door het systeem te worden gebruikt is voor ieder Linux-systeem verplicht. De directory zelf is een normale directory en kan met mkdir op gebruikelijke wijze worden aangemaakt. De speciale bestanden voor de devices moeten echter op een speciale manier, met het commando mknod, worden aangemaakt.

Er is echter een kortere weg -- het kopiëren van de inhoud van je bestaande /dev-directory, waarbij je de niet gewenste bestanden verwijdert. De enige vereiste hierbij is dat je de speciale bestanden voor de devices met de optie -R kopieert. Hiermee zal de directory worden gekopieerd, zonder dat zal worden getracht de inhoud van de bestanden te kopiëren. Zorg ervoor dat je de hoofdletter R gebruikt. Als je de kleine letter -r switch gebruikt, zal dit waarschijnlijk tot gevolg hebben dat je de gehele inhoud van alle harddisks kopieert -- of in ieder geval zoveel als op een diskette past! Pas daarom op en maak gebruik van het commando:

        cp -dpR /dev /mnt

uitgaande van een op /mnt gemounte diskette. De dp switches zorgen ervoor dat symbolische links als links worden gekopieerd in plaats van als doelbestand, en dat de oorspronkelijke kenmerken behouden blijven, dus dat de informatie over de eigenaar behouden blijft.

Als je het op de moeilijke manier wilt doen, gebruik je ls -l om de major en minor device-nummers voor de services, die je wilt, te tonen, en maak je ze met behulp van mknod aan.

Alhoewel de devices zijn gekopieerd, loont het de moeite na te kijken dat eventuele door jou benodigde devices op de rescue-diskette zijn geplaatst. ftape maakt bijvoorbeeld gebruik van tape-devices, dus je zal hiervan een kopie nodig hebben als je van plan bent je floppy tape-drive vanaf de bootdisk te benaderen.

Voor ieder speciaal bestand voor een device is een inode vereist, en inodes kunnen zo nu en dan een schaarse bron vormen, vooral op diskette bestandssystemen. Het heeft daarom zin alle niet benodigde speciale bestanden voor de devices uit de /dev-directory van de diskette te verwijderen. Veel devices op specifieke systemen zijn klaarblijkelijk overbodig. Je kunt bijvoorbeeld met een gerust hart alle device-bestanden die beginnen met sd verwijderen als je geen SCSI-disks hebt. Op vergelijkbare wijze kunnen alle device-bestanden beginnend met cua worden verwijderd, als je niet van plan bent je seriële poort te gaan gebruiken.

Wees er zeker van dat je in ieder geval de volgende bestanden in deze directory opneemt: console, kmem, mem, null, ram, tty1.

/etc

In deze directory moeten een aantal configuratiebestanden voorkomen. Op de meeste systemen kunnen deze in drie groepen worden onderverdeeld:

  1. Ten alle tijden vereist, b.v. rc, fstab, passwd.
  2. Mogelijk vereist, maar niemand is daar echt zeker van.
  3. Rommel die er in is geslopen.

Niet essentiële bestanden kunnen worden geïndentificeerd met het commando:

        ls -ltru

Hiermee worden bestanden in omgekeerde volgorde op de laatst benaderde datum weergegeven, dus als eventuele bestanden niet zijn benaderd, kunnen ze op een root-diskette achterwege worden gelaten.

Op mijn root-diskettes, heb ik het aantal configuratiebestanden onder de 15 weten te houden. Dit reduceert mijn werk tot 3 sets bestanden:

  1. Degenen die ik voor een boot/root-systeem moet configureren:
    1. rc.d/* -- systeem opstartscripts en scripts voor bij het wijzigen van het runlevel
    2. fstab -- lijst met te mounten bestandssystemen
    3. inittab -- parameters voor het init proces, het eerst gestarte proces tijdens het booten.
  2. Degenen die ik voor een boot/root systeem op zou kunnen knappen:
    1. passwd -- lijst met gebruikers, homedirectory's, enz.
    2. group -- gebruikersgroepen.
    3. shadow -- wachtwoorden van gebruikers. Mogelijk heb je deze niet.
    4. termcap -- de terminal capaciteiten database.
    passwd en shadow zouden moeten worden geoptimaliseerd, als de beveiliging van belang is, om het kopiëren van gebruikerswachtwoorden van het systeem te voorkomen, en zodat wanneer je vanaf de diskette boot, ongewenste logins worden verworpen. Zorg ervoor dat in passwd op z'n minst root voorkomt. Zorg ervoor dat de directory's en shells voorkomen, als je van plan bent andere gebruikers in te laten loggen. termcap, de terminal database, is kenmerkend verscheidene honderden kilobytes. De versie die je op je boot/root-diskette gebruikt zou zo moeten worden geoptimaliseerd dat het slechts de te gebruiken terminal(s) bevat, wat gewoonlijk slechts de linux-console entry is.
  3. De rest. Ze zijn op 't moment actief, dus laat ik ze met rust.

Daarbuiten hoefde ik slechts twee bestanden te configureren en de inhoud daarvan is verbazingwekkend weinig.

Je inittab zou zodanig moeten worden gewijzigd dat de sysinit regel rc, of welk basisbootscript ook zal worden gebruikt, uitvoert. Als je er tevens verzekerd van wilt zijn, dat gebruikers niet via seriële poorten in kunnen loggen, maak je commentaar van alle regels voor getty waarin een ttys of ttyS device aan het einde van de regel is opgenomen. Laat de tty poorten erin, zodat je op de console in kunt loggen.

Een minimaal inittab bestand ziet er ongeveer zo uit:

        id:2:initdefault:
        si::sysinit:/etc/rc
        1:2345:respawn:/sbin/getty 9600 tty1
        2:23:respawn:/sbin/getty 9600 tty2

Het bestand inittab definieert wat het systeem in diverse toestanden uit zal voeren, waaronder bij het opstarten, het overgaan naar multi-user mode, enz. Zorg ervoor de bestandsnamen in inittab zorgvuldig te controleren; als init het vermelde programma niet kan vinden, zal de bootdisk blijven hangen, en zal je wellicht zelfs geen foutmelding krijgen.

Een aantal programma's kunnen niet naar elders worden verplaatst, omdat andere programma's hun locaties hebben ingeprogrammeerd. Op mijn systeem is in /etc/shutdown, /etc/reboot hardgecodeerd. Als ik reboot naar /bin/reboot verplaats, en het shutdown-commando aanroep, dan zal de uitvoering ervan mislukken omdat het 't bestand reboot niet kan vinden.

Kopieer voor de rest alle tekstbestanden in je /etc directory, plus alle uitvoerbare bestanden in je /etc/ directory waarvan je niet zeker bent of je ze niet nodig hebt. Raadpleeg als leidraad de listing in de Sectie Voorbeeld rootdisk directory listings. Waarschijnlijk volstaat het alleen die bestanden te kopiëren, maar systemen verschillen nogal, dus je kan er niet zeker van zijn dat dezelfde set bestanden op je systeem equivalent is aan de bestanden in de lijst. De enige zekere methode is te beginnen met inittab en uit te werken wat nodig is.

De meeste systemen maken nu gebruik van een /etc/rc.d/ directory met shell-scripts voor verschillende run-levels. Het minimum is een enkel rc script, maar mogelijk is het eenvoudiger gewoon inittab en de directory /etc/rc.d vanaf je bestaande systeem te kopiëren, en de directory rc.d te ontdoen van de shell-scripts omdat de verwerking niet relevant is voor een systeemomgeving voor op een diskette.

/bin en /sbin

De /bin directory is een prima plaats voor extra utilities die je nodig hebt voor het verrichten van basisbewerkingen, utilities zoals ls, mv, cat en dd. Zie Appendix Voorbeeld rootdisk directory listings voor een voorbeeldlijst met bestanden voor in de directory's /bin en /sbin. Hierin staan geen utilities die nodig zijn om bestanden vanuit een backup terug te plaatsen, zoals cpio, tar en gzip. Dat komt doordat ik deze op een aparte utility-diskette plaats, om ruimte op de boot/root-diskette te besparen. Zodra de boot/root-diskette is geboot, wordt het naar de ramdisk gekopieerd waarbij het diskettestation vrij blijft om een andere diskette, de utility-diskette, te mounten. Ik mount deze meestal als /usr.

De aanmaak van een utility diskette wordt hierna in de sectie Bouwen van een utility-disk beschreven. Waarschijnlijk is het wenselijk een kopie van dezelfde versie backuputilities, die worden gebruikt om de backups te schrijven, te beheren, zodat je geen tijd verspilt bij het proberen te installeren van versies die je backuptapes niet in kunnen lezen.

Zorg er in ieder geval voor dat je de volgende programma's opneemt: init, getty of equivalent, login, mount, één of andere shell die je rc-scripts uit kan voeren, een link van sh naar de shell.

/lib

In /lib plaats je de benodigde shared library's en loaders. Als de benodigde library's niet in de directory /lib zijn te vinden, zal het systeem niet kunnen booten. Als je geluk hebt, zie je misschien een foutmelding die aangeeft waarom niet.

Bijna ieder programma heeft op z'n minst de library libc libc.so.N nodig, waar N het huidige versienummer is. Kijk in de directory /lib. libc.so.N is meestal een symlink naar een bestandsnaam met een volledig versienummer:

% ls -l /lib/libc*
-rwxr-xr-x   1 root     root      4016683 Apr 16 18:48 libc-2.1.1.so*
lrwxrwxrwx   1 root     root           13 Apr 10 12:25 libc.so.6 -> libc-2.1.1.so*

In dit geval gebruik je libc-2.1.1.so. Om andere library's op te zoeken ga je door alle binaire bestanden die je van plan bent op te nemen en controleer je daarvan de afhankelijkheden met het commando ldd. Bijvoorbeeld:

        % ldd /sbin/mke2fs
        libext2fs.so.2 => /lib/libext2fs.so.2 (0x40014000)
        libcom_err.so.2 => /lib/libcom_err.so.2 (0x40026000)
        libuuid.so.1 => /lib/libuuid.so.1 (0x40028000)
        libc.so.6 => /lib/libc.so.6 (0x4002c000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

Ieder bestand aan de rechterkant is vereist. Het bestand mag een symbolische link zijn.

Een aantal library's is nogal groot en zal niet zo eenvoudig op je root-bestandssysteem passen. De hierboven genoemde libc.so bijvoorbeeld, is zo ongeveer 4 meg. Je zal library's bij het kopiëren naar je root-bestandssysteem waarschijnlijk moeten strippen. Zie de sectie Terugbrengen van de grootte van het root-bestandssysteem voor instructies.

In /lib moet je ook een loader voor de library's opnemen. De loader zal óf ld.so (voor a.out libraries) óf ld-linux.so (voor ELF libraries) zijn. Nieuwere versies van ldd geven je exact aan welke loader nodig is, zoals in het voorbeeld hiervoor, maar oudere versies doen dit wellicht niet. Als je niet zeker weet welke je nodig hebt, pas je het file commando toe op de library. Bijvoorbeeld:

        % file/lib/libc.so.4.7.2 /lib/libc.so.5.4.33 /lib/libc-2.1.1.so
        /lib/libc.so.4.7.2: Linux/i386 demand-paged executable (QMAGIC), stripped
        /lib/libc.so.5.4.33: ELF 32-bit LSB shared object, Intel 80386, version 1, stripped
        /lib/libc-2.1.1.so: ELF 32-bit LSB shared object, Intel 80386, version 1, not stripped

De QMAGIC geeft aan dat 4.7.2 voor a.out library's is, en ELF geeft aan dat 5.4.33 en 2.1.1 voor ELF zijn.

Kopieer de specifieke loader(s) die je nodig hebt naar het root bestandssysteem dat je aan het bouwen bent. Library's en loaders zouden zorgvuldig moeten worden gecontroleerd met de opgenomen binaire bestanden. Als de kernel een benodigde library niet kan laden, zal de kernel meestal zonder foutmelding afbreken.

4.4 Voorzieningen voor PAM en NSS

Mogelijk dat je systeem dynamisch geladen library's nodig heeft, die voor ldd niet zichtbaar zijn.

PAM (Pluggable Authentication Modules).

Als er op je systeem gebruik wordt gemaakt van PAM (Pluggable Authentication Modules), moet je er een voorziening voor treffen op je bootdisk, ander zal je niet in kunnen loggen. PAM, is in 't kort een geraffineerde modulaire methode voor de authenticatie van gebruikers en het beheren van de toegang aan gebruikers tot services. Een eenvoudige manier om vast te stellen of op je systeem gebruik wordt gemaakt van PAM is de directory /etc op je harddisk te controleren op een bestand met de naam pam.conf of op een directory pam.d; als één van beiden bestaat, moet je een voorziening treffen voor een minimale ondersteuning van PAM. (Als alternatief voer je ldd uit op het uitvoerbare bestand login; als in de uitvoer libpam.so voorkomt, heb je PAM nodig).

Gelukkig heb je op bootdisks vaak niets te maken met beveiliging aangezien iedereen die fysieke toegang tot een computer heeft, meestal sowieso alles ermee kan doen. Daarom kun je PAM effectief deactiveren door het aanmaken van een eenvoudig /etc/pam.conf bestand in je root-bestandssysteem dat er ongeveer zo uitziet:


OTHER   auth       optional     /lib/security/pam_permit.so
OTHER   account    optional     /lib/security/pam_permit.so
OTHER   password   optional     /lib/security/pam_permit.so
OTHER   session    optional     /lib/security/pam_permit.so

Kopieer ook het bestand /lib/security/pam_permit.so naar je root-bestandssysteem. Deze library is slechts zo'n 8K dus heeft het een minimale overhead tot gevolg.

Deze configuratie staat iedereen volledige toegang tot de bestanden en services op je machine toe. Als beveiliging op je bootdisk je om één of andere reden lief is, zal je wat van je of je volledige harddisk's PAM setup naar je root bestandssysteem moeten kopiëren. Lees in ieder geval zorgvuldig de documentatie van PAM door, en kopieer alle benodigde library's in /lib/security naar je root-bestandssysteem.

Je moet tevens /lib/libpam.so op je bootdisk plaatsen. Maar je weet dit reeds aangezien je ldd op /bin/login toepaste, waarmee deze afhankelijkheid werd getoond.

NSS (Name Service Switch).

Als je glibc (ala libc6) gebruikt, zal je voorzieningen moeten treffen voor name services anders zal je niet in kunnen loggen. Het bestand /etc/nsswitch.conf bestuurt voor diverse services de database lookups. Als je niet van plan bent services te benaderen vanaf het netwerk (bv DNS of NIS lookups), zal je een eenvoudig nsswitch.conf moeten prepareren dat er ongeveer zo uitziet:


     passwd:     files 
     shadow:     files 
     group:      files 
     hosts:      files
     services:   files
     networks:   files
     protocols:  files
     rpc:        files
     ethers:     files
     netmasks:   files     
     bootparams: files
     automount:  files 
     aliases:    files
     netgroup:   files
     publickey:  files

Hiermee wordt aangegeven dat iedere service alleen door lokale bestanden zal worden geleverd. Je zal ook /lib/libnss_files.so.1 op moeten nemen, welke dynamisch zal worden geladen om de bestands lookups af te handelen.

Als je van plan bent het netwerk vanaf je bootdisk te benaderen, wil je wellicht een nauwgezetter nsswitch.conf bestand aanmaken. Zie de nsswitch manpage voor details. Houd in gedachten dat je voor iedere service die je specificeert een bestand /lib/libnss_service.so.1 opneemt.

4.5 Modules

Als je een modulaire kernel hebt, zou je moeten overwegen welke modules je na het booten vanaf je bootdisk wilt laden. Wellicht dat je de ftape en zftape modules op wilt nemen, als je backup-tapes op floppy tape staan, modules voor SCSI-devices als je ze hebt, en mogelijk modules voor PPP of SLIP ondersteuning als je in een noodgeval een verbinding wilt kunnen maken met het net.

Deze modules mogen in /lib/modules worden geplaatst. Je zou ook insmod, rmod en lsmod op moeten nemen. Afhankelijk van of je modules automatisch wil laden, wil je wellicht ook modprobe, depmod en swapout insluiten. Als je kerneld gebruikt, doe deze dan samen met /etc/conf.modules op de diskette.

Het belangrijkste voordeel bij het gebruik van modules is echter dat je niet-kritieke modules op een utility-disk kunt plaatsen en dat je ze wanneer nodig laadt, waarbij je dus minder ruimte verbruikt op je root-disk. Deze benadering verdient de voorkeur boven het bouwen van één zeer grote kernel met veel ingebouwde drivers, als je veel verschilende devices hebt.

Om een gecomprimeerd ext2 bestandssysteem te booten, heb je ingebouwde ondersteuning nodig voor een ramdisk en ext2. Hier kan niet als modules in worden voorzien.

4.6 Een aantal laatste details

Een aantal systeemprogramma's, zoals login, klaagt als het bestand /var/run/utmp en de directory /var/log niet voorkomen. Dus:

        mkdir -p /mnt/var/{log,run}
        touch /mnt/var/run/utmp

Nadat je tenslotte alle benodigde library's hebt ingesteld, voer je ldconfig uit om /etc/ld.so.cache op het root-bestandssysteem opnieuw aan te maken. De cache vertelt de loader waar de library's te vinden zijn. Voor het opnieuw aanmaken van ld.so.cache voer je de volgende commando's uit:

        chdir /mnt; chroot /mnt /sbin/ldconfig

De chroot is nodig omdat ldconfig altijd de cache voor het root-bestandssysteem opnieuw aanmaakt.

4.7 Het samenpakken

Zodra je klaar bent met het constructureren van een root-bestandssysteem, unmount je het, en kopieer je het naar een bestand en comprimeert dat:

        umount /mnt
        dd if=DEVICE bs=1k | gzip -v9 > rootfs.gz

Wanneer dit klaar is, zal je een bestand rootfs.gz hebben, wat je gecomprimeerde root-bestandssysteem is. Je zou de grootte ervan moeten controleren om er zeker van te zijn dat het op een diskette past; als dit niet zo is, zal je terug moeten gaan en wat bestanden moeten verwijderen. In Sectie Terugbrengen van de grootte van het root-bestandssysteem staan een aantal hints voor het terugbrengen van de grootte van het root-bestandssysteem.


Verder Terug Inhoud