Opciones de montaje seguro + partición en Ubuntu

3

¿Cuál es la mejor solución para las opciones de montaje / partición cuando se tiene, por ejemplo, una instalación mínima de Ubuntu (11.04) para uso de escritorio? por ejemplo: poner / tmp en una partición diferente para darle opciones de montaje como: nodev, nosuid, noexec - podría aumentar la seguridad. Solo quiero reunir consejos, cómo hacerlo

noatime podría dar más rendimiento! por lo que es una necesidad para cada punto de montaje.

¡Gracias!

p.s .: también, ¿qué tamaño le daría a las particiones? - PC de uso diario en el escritorio

    
pregunta LanceBaynes 30.05.2011 - 08:05
fuente

5 respuestas

0
/   ext4    defaults,noatime
/boot   ext4    defaults,noatime,nodev,nosuid,noexec
/home   ext4    noatime,nodev,nosuid
/tmp    ext4    noatime,nodev,nosuid,noexec
/usr    ext4    noatime,nodev
/var    ext4    noatime,nodev,nosuid
none    swap    sw
    
respondido por el LanceBaynes 30.05.2011 - 11:43
fuente
8

La Agencia de Seguridad Nacional en realidad publica recomendaciones de configuración del sistema operativo . Publican específicamente información para endurecimiento de Red Hat 5 pero esto podría adaptarse a cualquier distribución de Linux .

Esta configuración es simplemente demasiado detallada para ser citada en su totalidad, pero la guía de fortalecimiento le brinda un conjunto de servicios de los que puede eliminar de forma segura los permisos de setuid. Tenga en cuenta que las distribuciones de Linux modernas utilizan las capacidades y también debe comprenderlas y poder revisarlas (Red Hat 5 es algo antiguo). Específicamente y de interés recomiendan particiones separadas para /var/log y /var/audit . Supongo que esto se debe a que estas particiones se duplican de forma segura, de modo que no se puede eliminar información una vez que se ha escrito.

Tendría cuidado con tus opciones nosuid y noexec ; puede deshabilitar la ejecución legítima y nosuid puede no aplicarse a las capacidades. Personalmente, creo que la mejor defensa para cualquier tipo de seguridad a nivel de aplicación es el control de acceso obligatorio, pero aún no está totalmente disponible y es compatible con todo el software, ya que muchos autores de software no lo tienen en cuenta (el antiguo NT supone Soy un problema de administración).

    
respondido por el user2213 05.06.2011 - 20:32
fuente
3

El esquema de partición que elija tiene poco impacto en la seguridad. No lo sude (al menos, no las implicaciones de seguridad). Si le preocupa la seguridad, hay maneras más efectivas de invertir su tiempo.

    
respondido por el D.W. 09.06.2011 - 09:26
fuente
2

Para empezar, observaría los documentos de estándares para algunas recomendaciones y me adaptaría a ellos para adaptarlos mejor a su entorno. Para obtener una buena información de inicio y una tabla de particiones de ejemplo, lea la sección "Consideraciones de partición" del banco de pruebas de Red Hat Linux 5 en Centro de seguridad de Internet . Encontré que su esquema de partición recomendado, con ajustes de tamaño de partición, funciona muy bien para un entorno de escritorio.

Además, asegúrese de pensar detenidamente qué opciones habilita y cuáles podrían ser sus implicaciones. Por ejemplo, noatime proporciona un aumento de rendimiento, sin embargo, puede hacer que el trabajo forense sea más difícil en el futuro.

    
respondido por el Scott Pack 30.05.2011 - 15:37
fuente
1

Puedo responder en la partición.

Mantener particiones separadas para directorios del sistema como /, / usr, / boot es más conveniente y lo que te gusta separar. Todos juntos realmente no necesitas más de 4-5 GB.

Consulte enlace para obtener información detallada sobre la necesidad de / boot como sistema de archivos separado.

También vea aquí para diferentes opciones de particionamiento en Ubuntu / Linux

/ tmp y / var tiene sentido y le daría ~ tamaño de RAM para / tmp, / var dimensionar depende de su uso y sus políticas de rotación de registros.

Swap le daría dos veces RAM.

/ home Daré todo lo demás.

Para mayor seguridad en el nivel del sistema de archivos, creo que los expertos en askubuntu pueden ayudarlo mejor

    
respondido por el Jamess 09.06.2011 - 08:24
fuente

Lea otras preguntas en las etiquetas