Opzioni di montaggio sicuro + partizionamento su Ubuntu

/   ext4    defaults,noatime
/boot   ext4    defaults,noatime,nodev,nosuid,noexec
/home   ext4    noatime,nodev,nosuid
/tmp    ext4    noatime,nodev,nosuid,noexec
/usr    ext4    noatime,nodev
/var    ext4    noatime,nodev,nosuid
none    swap    sw

La National Security Agency pubblica effettivamente consigli sulla configurazione del sistema operativo . Pubblicizzano specificamente informazioni per hardening Red Hat 5 ma questo potrebbe essere adattato a qualsiasi distribuzione Linux .

Questa configurazione è semplicemente troppo dettagliata per essere citata nella sua interezza, ma la guida avanzata ti offre un insieme di servizi da cui puoi rimuovere in modo sicuro i permessi di setuid. Nota che le moderne distribuzioni Linux usano le capacità e dovresti anche capire ed essere in grado di rivederle (Red Hat 5 è piuttosto vecchio). Specificamente e di interesse, raccomandano partizioni separate per /var/log e /var/audit . Presumo che questo è perché queste partizioni sono in qualche modo specchiate in modo sicuro in modo tale che non è possibile rimuovere le informazioni da loro una volta che è stato scritto.

Farei attenzione con le opzioni nosuid e noexec ; potresti disabilitare l'esecuzione legittima e nosuid potrebbe non essere applicabile alle funzionalità. Personalmente ritengo che la massima difesa per qualsiasi tipo di sicurezza a livello di applicazione sia il controllo obbligatorio degli accessi, ma questo non è completamente prevalente e disponibile / compatibile con tutti i software, dal momento che molti autori di software non ne tengono conto (il vecchio NT assume Sono un problema di amministratore).

Lo schema di partizionamento scelto ha un impatto minimo sulla sicurezza. Non sudare (almeno, non le implicazioni sulla sicurezza). Se sei preoccupato per la sicurezza, ci sono modi più efficaci per trascorrere il tuo tempo.

Vorrei iniziare osservando i documenti standard per alcune raccomandazioni e adattandoci da lì al meglio per il tuo ambiente. Per alcune buone informazioni sull'avviamento e una tabella delle partizioni di esempio, leggi la sezione "Considerazioni sul partizionamento" del benchmark di Red Hat Linux 5 dal Center for Internet Security . Ho trovato il loro schema di partizionamento raccomandato, con le regolazioni delle dimensioni della partizione, per funzionare molto bene per un ambiente desktop.

Inoltre, assicurati di riflettere a lungo sulle opzioni che abiliti e quali potrebbero essere le loro implicazioni. Ad esempio, noatime fornisce un aumento delle prestazioni, tuttavia può rendere la ricerca forense più difficile in futuro.

Posso rispondere al partizionamento.

Mantenere partizioni separate per le directory di sistema come /, / usr, / boot è più comodo e ciò che ti piace separare. Tutti insieme davvero non hai bisogno di più di 4-5 GB.

Guarda link per una discussione dettagliata sulla necessità di / boot come filesystem separato.

Guarda anche qui per diverse opzioni di partizionamento su Ubuntu / Linux

/ tmp e / var hanno un senso e darei ~ RAM size per / tmp, / dimensionamento var dipende dal tuo utilizzo e dai tuoi criteri di rotazione dei log.

swap darei due volte RAM.

/ home Darò tutto il resto.

Per aumentare la sicurezza a livello di file system, credo che gli esperti di askubuntu possano aiutarti meglio