Opciones de montaje seguro + partición en Ubuntu

/   ext4    defaults,noatime
/boot   ext4    defaults,noatime,nodev,nosuid,noexec
/home   ext4    noatime,nodev,nosuid
/tmp    ext4    noatime,nodev,nosuid,noexec
/usr    ext4    noatime,nodev
/var    ext4    noatime,nodev,nosuid
none    swap    sw

La Agencia de Seguridad Nacional en realidad publica recomendaciones de configuración del sistema operativo . Publican específicamente información para endurecimiento de Red Hat 5 pero esto podría adaptarse a cualquier distribución de Linux .

Esta configuración es simplemente demasiado detallada para ser citada en su totalidad, pero la guía de fortalecimiento le brinda un conjunto de servicios de los que puede eliminar de forma segura los permisos de setuid. Tenga en cuenta que las distribuciones de Linux modernas utilizan las capacidades y también debe comprenderlas y poder revisarlas (Red Hat 5 es algo antiguo). Específicamente y de interés recomiendan particiones separadas para /var/log y /var/audit . Supongo que esto se debe a que estas particiones se duplican de forma segura, de modo que no se puede eliminar información una vez que se ha escrito.

Tendría cuidado con tus opciones nosuid y noexec ; puede deshabilitar la ejecución legítima y nosuid puede no aplicarse a las capacidades. Personalmente, creo que la mejor defensa para cualquier tipo de seguridad a nivel de aplicación es el control de acceso obligatorio, pero aún no está totalmente disponible y es compatible con todo el software, ya que muchos autores de software no lo tienen en cuenta (el antiguo NT supone Soy un problema de administración).

El esquema de partición que elija tiene poco impacto en la seguridad. No lo sude (al menos, no las implicaciones de seguridad). Si le preocupa la seguridad, hay maneras más efectivas de invertir su tiempo.

Para empezar, observaría los documentos de estándares para algunas recomendaciones y me adaptaría a ellos para adaptarlos mejor a su entorno. Para obtener una buena información de inicio y una tabla de particiones de ejemplo, lea la sección "Consideraciones de partición" del banco de pruebas de Red Hat Linux 5 en Centro de seguridad de Internet . Encontré que su esquema de partición recomendado, con ajustes de tamaño de partición, funciona muy bien para un entorno de escritorio.

Además, asegúrese de pensar detenidamente qué opciones habilita y cuáles podrían ser sus implicaciones. Por ejemplo, noatime proporciona un aumento de rendimiento, sin embargo, puede hacer que el trabajo forense sea más difícil en el futuro.

Puedo responder en la partición.

Mantener particiones separadas para directorios del sistema como /, / usr, / boot es más conveniente y lo que te gusta separar. Todos juntos realmente no necesitas más de 4-5 GB.

Consulte enlace para obtener información detallada sobre la necesidad de / boot como sistema de archivos separado.

También vea aquí para diferentes opciones de particionamiento en Ubuntu / Linux

/ tmp y / var tiene sentido y le daría ~ tamaño de RAM para / tmp, / var dimensionar depende de su uso y sus políticas de rotación de registros.

Swap le daría dos veces RAM.

/ home Daré todo lo demás.

Para mayor seguridad en el nivel del sistema de archivos, creo que los expertos en askubuntu pueden ayudarlo mejor