安全地对 Linux 进行分区

安全地对 Linux 进行分区

我遇到了以下文件系统层次结构标准,但我不确定如果我使用逻辑卷管理器,我应该如何对目录进行分区,以及是否希望尽可能地保护或强化安装。

在此处输入图片描述

我知道这取决于我计划使用 PC/服务器的用途,然而我想知道通常推荐作为基础安装的内容,例如保留 /var、/var/log、/var/spool,因为它们不断变化。

其次,如果我将 /home、/usr、/var 等目录分割为它们自己的挂载点,那么 /boot 和 /root 目录需要多少空间?

如果我只有逻辑卷之外的 /boot 挂载点,它能为我提供足够的安全性吗?它不能为我提供哪些方面的安全性?

答案1

让我对这个问题的评论进行一些对比。

如果您仔细查看该图,就会发现通过适当的分区可以打开一些安全选项。以下是一些简单示例:

  • 任何标记为静态或只读的内容都可以以 ro(只读)方式安装。
  • 任何非 /dev 的东西都可以被挂载为 nodev(不会承认任何设备文件)。
  • 任何不需要 setuid 二进制文件的分区都可以以 nosuid 方式挂载(setuid 位和 setgid 位被忽略)。
  • 可以以某种方式安装或处理临时分区,使得其中的数据在重新启动后无法保留(例如,在每次启动时创建一个新的加密文件系统,并在安装后丢弃随机密钥)
  • 对于某些分区,您可以从 NFS 服务器远程以只读方式挂载它们。这是 Solaris 上流行的技巧。

通过检查挂载选项,您可能可以想出一些更复杂的组合或方法。例如,另一个看起来有用的选项是 noexec。

这些变化并不意味着绝对安全。它们可能使各种攻击更难实施。例如,在挂载 nosuid 和 ro 的分区上投放带有木马的 setuid 二进制文件会更加困难。

简而言之,分区提供一些安全优势。它不会是完美的安全,但它可以使攻击者的工作更加困难。

相关内容