CISecurity AMI EC2 Amazon

Questa è una minaccia a basso rischio e potresti ignorarla nella maggior parte dei casi.

Detto questo, il documento spiega la logica alla base della garanzia che esistano partizioni separate per ciascuno dei punti di mount specificati. Poiché sono scrivibili in tutto il mondo, si corre il rischio di esaurimento delle risorse senza vincoli di punti di montaggio su una partizione separata. Inoltre, separando le partizioni è possibile impostare un flag noexec sui montaggi che non dovrebbero contenere file eseguibili. Infine, semplifica il ridimensionamento sul cloud.

Infine, non sono necessari 6 volumi EBS separati; /tmp potrebbe essere montato usando ramdisk; potresti avere più partizioni per lo stesso volume fisico.

Come ha detto Jedi , si tratta di una minaccia a basso rischio. Non hai bisogno di volumi separati quanto di partizioni separate ma con opzioni di mount point appropriate (di nuovo come ha detto Jedi), ad esempio noexec o ro . Ho visto casi in cui inodes nella partizione root era esaurito a causa della generazione di un numero elevato di file e questo ha portato il server inattivo perché non si poteva scrivere più nulla sul disco.

A meno che tu consideri /tmp come effimero (dovresti), es. non hai bisogno di nessuno dei dati in /tmp per il riavvio dell'istanza persistente, non dovresti montarlo come ramdisk.

E c'è sempre LVM .