我遇到了以下文件系统层次结构标准,但我不确定如果我使用逻辑卷管理器,我应该如何对目录进行分区,以及是否希望尽可能地保护或强化安装。
我知道这取决于我计划使用 PC/服务器的用途,然而我想知道通常推荐作为基础安装的内容,例如保留 /var、/var/log、/var/spool,因为它们不断变化。
其次,如果我将 /home、/usr、/var 等目录分割为它们自己的挂载点,那么 /boot 和 /root 目录需要多少空间?
如果我只有逻辑卷之外的 /boot 挂载点,它能为我提供足够的安全性吗?它不能为我提供哪些方面的安全性?
答案1
让我对这个问题的评论进行一些对比。
如果您仔细查看该图,就会发现通过适当的分区可以打开一些安全选项。以下是一些简单示例:
- 任何标记为静态或只读的内容都可以以 ro(只读)方式安装。
- 任何非 /dev 的东西都可以被挂载为 nodev(不会承认任何设备文件)。
- 任何不需要 setuid 二进制文件的分区都可以以 nosuid 方式挂载(setuid 位和 setgid 位被忽略)。
- 可以以某种方式安装或处理临时分区,使得其中的数据在重新启动后无法保留(例如,在每次启动时创建一个新的加密文件系统,并在安装后丢弃随机密钥)
- 对于某些分区,您可以从 NFS 服务器远程以只读方式挂载它们。这是 Solaris 上流行的技巧。
通过检查挂载选项,您可能可以想出一些更复杂的组合或方法。例如,另一个看起来有用的选项是 noexec。
这些变化并不意味着绝对安全。它们可能使各种攻击更难实施。例如,在挂载 nosuid 和 ro 的分区上投放带有木马的 setuid 二进制文件会更加困难。
简而言之,分区能提供一些安全优势。它不会是完美的安全,但它可以使攻击者的工作更加困难。