1

Я столкнулся со следующим стандартом иерархии файловых систем, однако не уверен, как мне следует разбивать каталоги, если я использую менеджер логических томов и если я хочу максимально обезопасить или защитить установку.

Я знаю, что это зависит от того, для чего я планирую использовать ПК / сервер, однако хотел бы знать, что обычно рекомендуется в качестве базовой установки, например keep / var, / var / log, / var / spool, потому что они постоянно меняются.

Во-вторых, сколько места требуется для каталогов /boot и /root, если предположить, что я должен сегментировать каталоги, такие как /home, /usr, /var, etcetera, в качестве собственных точек монтирования?

Если у меня есть только точка монтирования /boot вне логических томов, обеспечивает ли она достаточную безопасность? От чего это не защищает меня?

|источник

1 ответ1

3

Позвольте мне дать некоторое отличие от комментариев по этому вопросу.

Если вы изучите графику более подробно, есть некоторые параметры безопасности, которые открываются при правильном разбиении. Несколько быстрых примеров:

  • Все, что помечено как статическое или доступно только для чтения, может быть установлено ro (только для чтения).
  • Все, что не является /dev, может быть смонтировано nodev (файлы устройств не будут учитываться).
  • Любой раздел, который не требует двоичных файлов setuid, может быть смонтирован nosuid (бит setuid и бит setgid игнорируются).
  • Временные разделы могут быть смонтированы или обработаны таким образом, что данные на них не могут сохраняться после перезагрузки (например, создание новой зашифрованной файловой системы при каждой загрузке со случайным ключом, выбрасываемым после монтирования)
  • Для некоторых разделов их можно монтировать удаленно и только для чтения с сервера NFS. Этот трюк был популярен на Solaris.

Вероятно, вы можете придумать более сложные комбинации или подходы к работе, изучив варианты монтирования. Еще один полезный пример - noexec, например.

Эти изменения не будут означать идеальную безопасность. Они могут сделать различные атаки значительно более сложными для реализации. Например, сложнее поместить троянский двоичный файл setuid на раздел, на котором смонтированы nosuid и ro.

Короче говоря, разделение может обеспечить некоторые преимущества безопасности. Это не будет идеальной безопасностью, но может усложнить работу злоумышленника.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .