Opzioni di montaggio sicuro + partizionamento su Ubuntu

3

Qual è la migliore soluzione per le opzioni di montaggio / partizionamento quando si dispone di e.g .: un'installazione minima di Ubuntu (11.04) per l'uso desktop? ad es .: put / tmp su una partizione diversa per dargli opzioni di montaggio come: nodev, nosuid, noexec - potrebbe aumentare la sicurezza. Voglio solo raccogliere suggerimenti, come farlo

Noatime potrebbe dare più prestazioni! quindi è un must per ogni punto di mount.

Grazie!

p.s .: anche, quale dimensione darei alle partizioni? - PC desktop di uso quotidiano

    
posta LanceBaynes 30.05.2011 - 08:05
fonte

5 risposte

0
/   ext4    defaults,noatime
/boot   ext4    defaults,noatime,nodev,nosuid,noexec
/home   ext4    noatime,nodev,nosuid
/tmp    ext4    noatime,nodev,nosuid,noexec
/usr    ext4    noatime,nodev
/var    ext4    noatime,nodev,nosuid
none    swap    sw
    
risposta data 30.05.2011 - 11:43
fonte
8

La National Security Agency pubblica effettivamente consigli sulla configurazione del sistema operativo . Pubblicizzano specificamente informazioni per hardening Red Hat 5 ma questo potrebbe essere adattato a qualsiasi distribuzione Linux .

Questa configurazione è semplicemente troppo dettagliata per essere citata nella sua interezza, ma la guida avanzata ti offre un insieme di servizi da cui puoi rimuovere in modo sicuro i permessi di setuid. Nota che le moderne distribuzioni Linux usano le capacità e dovresti anche capire ed essere in grado di rivederle (Red Hat 5 è piuttosto vecchio). Specificamente e di interesse, raccomandano partizioni separate per /var/log e /var/audit . Presumo che questo è perché queste partizioni sono in qualche modo specchiate in modo sicuro in modo tale che non è possibile rimuovere le informazioni da loro una volta che è stato scritto.

Farei attenzione con le opzioni nosuid e noexec ; potresti disabilitare l'esecuzione legittima e nosuid potrebbe non essere applicabile alle funzionalità. Personalmente ritengo che la massima difesa per qualsiasi tipo di sicurezza a livello di applicazione sia il controllo obbligatorio degli accessi, ma questo non è completamente prevalente e disponibile / compatibile con tutti i software, dal momento che molti autori di software non ne tengono conto (il vecchio NT assume Sono un problema di amministratore).

    
risposta data 05.06.2011 - 20:32
fonte
3

Lo schema di partizionamento scelto ha un impatto minimo sulla sicurezza. Non sudare (almeno, non le implicazioni sulla sicurezza). Se sei preoccupato per la sicurezza, ci sono modi più efficaci per trascorrere il tuo tempo.

    
risposta data 09.06.2011 - 09:26
fonte
2

Vorrei iniziare osservando i documenti standard per alcune raccomandazioni e adattandoci da lì al meglio per il tuo ambiente. Per alcune buone informazioni sull'avviamento e una tabella delle partizioni di esempio, leggi la sezione "Considerazioni sul partizionamento" del benchmark di Red Hat Linux 5 dal Center for Internet Security . Ho trovato il loro schema di partizionamento raccomandato, con le regolazioni delle dimensioni della partizione, per funzionare molto bene per un ambiente desktop.

Inoltre, assicurati di riflettere a lungo sulle opzioni che abiliti e quali potrebbero essere le loro implicazioni. Ad esempio, noatime fornisce un aumento delle prestazioni, tuttavia può rendere la ricerca forense più difficile in futuro.

    
risposta data 30.05.2011 - 15:37
fonte
1

Posso rispondere al partizionamento.

Mantenere partizioni separate per le directory di sistema come /, / usr, / boot è più comodo e ciò che ti piace separare. Tutti insieme davvero non hai bisogno di più di 4-5 GB.

Guarda link per una discussione dettagliata sulla necessità di / boot come filesystem separato.

Guarda anche qui per diverse opzioni di partizionamento su Ubuntu / Linux

/ tmp e / var hanno un senso e darei ~ RAM size per / tmp, / dimensionamento var dipende dal tuo utilizzo e dai tuoi criteri di rotazione dei log.

swap darei due volte RAM.

/ home Darò tutto il resto.

Per aumentare la sicurezza a livello di file system, credo che gli esperti di askubuntu possano aiutarti meglio

    
risposta data 09.06.2011 - 08:24
fonte

Leggi altre domande sui tag