Partition critique "/" , mettre l'option nodev, option noexec, option nosuid, option readonly, partion séparée seulement commentaire : Dans l’idéal, vous devez monter la racine "/" totalement en restreignant, puis disposer de répertoires tels que / boot / séparé. Cela vous oblige également à configurer les répertoires correctement, car tout répertoire "dangereux" (par exemple / dev /) sera "cassé" (c’est-à-dire que nodev brisera /dev). Ceci n'est recommandé que si vous y allez à fond et avait du temps d’administration.
partition critique "/boot" option nodev, option noexec, option nosuid, option read only, partion séparée seulement commentaire : Répertoire critique contenant des images du noyau, si un attaquant remplace votre noyau ou le supprime, vous rencontrez de nombreux problèmes.
partition critique "/etc" mettre l'option nodev, option noexec, option nosuid, pas option read only, partion séparée rusée car c'est un répertoire critique contenant des informations sur la configuration du système, généralement la première cible d'un attaquant. Il ne devrait y avoir aucun fichier binaire ici. Le montage en lecture seule ne vous permettra pas de changer les mots de passe ou d’autres paramètres importants, ce qui n’est pas recommandé.
partition critique "/home" mettre l'option nodev, option noexec, option nosuid,, pas de option readonly, partion séparée seulement commentaire : "/home/" est le domaine principal des utilisateurs qui conservent leurs fichiers et travaillent avec eux (en supposant qu'ils puissent se connecter). Si vous fournissez des services comme IMAP, c'est là que se trouveront leurs dossiers de messagerie. Vous devriez en faire une partition séparée car les utilisateurs ont tendance à prendre rapidement de la place. Cela les empêchera également de créer des liens durs vers des fichiers, puis d'utiliser des programmes setuid qui vident le noyau par exemple et effacent les fichiers système. Monter noexec est probablement une bonne idée, mais en fonction du type de travail que les utilisateurs effectuent, cela peut les entraver sérieusement. Monter nosuid est une bonne idée et ne devrait pas vraiment affecter les utilisateurs.
partition critique "/lib" ,mettre l'option nodev, pas option noexec, option nosuid, option readonly, partion séparée seulement commentaire : La plupart des programmes s'appuieront sur les bibliothèques de ce répertoire. Si elles sont endommagées ou compromises, vous aurez du mal à nettoyer. Il y a ici des fichiers exécutables (.so, etc.), donc, ne le spécifiez pas, il ne serait pas judicieux de le spécifier.
répertoire critique "/mnt", mettre l'option nodev, option noexec, option nosuid Oui, option readonly, partion séparée ce n'est pas nécessaire , commentaire "/mnt/" est généralement utilisé pour monter des périphériques amovibles, tels que /mnt, /floppy, /, ou /mnt/cdrom, /mnt/cdrom0. En tant que tel, il contient rarement autre chose que quelques répertoires. Le fait de le séparer n'est donc pas un réel problème car tout contenu monté aussi.
partition critique "/opt", mettre l'option nodev, commentaire : ce répertoire est utilisé pour les paquets optionnels, les logiciels des vendeurs, etc., souvent, ce genre de choses nécessite des bits setuid pour fonctionner correctement (une bonne raison de le séparer car beaucoup de fournisseurs ont une sécurité logicielle épouvantable).
répértoire "/proc", /proc/ est un système de fichiers virtuel.
partition "/root" mettre l'option nodev, la partion séparée est bonne idée : Le terrain de jeu privé de root est généralement utilisé par beaucoup de gens au lieu de "/usr/local/" pour tester des choses /etc.
partition "/sbin" mettre l'option nodev, option readonly, partion séparée seulement commentaire : Répertoire contenant d’autres fichiers binaires importants du système, ne montez pas noexec ou nosuid, sous peine de casser votre système. Le montage en lecture seule évitera les chevaux de Troie et rendra la mise à jour logicielle beaucoup plus difficile.
partition "/tmp" mettre l'option nodev, option noexec, option nosuid, pas option readonly, partion séparée seulement commentaire : c'est le répertoire temporaire qui est utilisé par tous les utilisateurs, un bac a sable, et le système, monter en lecture seule va casser des choses, le séparer, car de nombreux exploits qui consistent à créer des liens durs dans tmp vers des fichiers, puis à faire en sorte qu'un programme se comporte mal et à détruire la / modifier le fichier cible à des fins malveillantes. Les fichiers binaires, en particulier les fichiers binaires setuid, ne doivent pas être autorisés dans "/tmp/, car tout utilisateur peut les modifier.
partition critique "/usr",l'option nodev, option nosuid Oui, option readonly, partion séparée seulement commentaire : Ce répertoire est l’endroit où la majorité des logiciels seront installés, ainsi que le code source et d’autres éléments. Le monter séparément est une bonne idée car il contient généralement des logiciels relativement importants dans "/usr", "/bin", "/usr" "/sbin". Le montage en lecture seule empêchera un attaquant d'insérer un cheval de Troie, mais rendra les mises à niveau beaucoup plus difficiles. Je ne prendrais pas la peine de monter en lecture seule à moins que vous montiez également "/bin" et "/sbin" en lecture seule.
partition "/bin" mettre l'option nodev, partition séparée seulement commentaire : Répertoire contenant des fichiers binaires importants du système, ne montez pas noexec ou nosuid, votre système ne fonctionnera pas correctement. Le montage en lecture seule évitera les chevaux de Troie et rendra la mise à jour logicielle beaucoup plus difficile.
partition "/dev", mettre option noexec, option nosuid, pas d'option readonly, partion séparée seulement commentaire : Monter / dev / avec l'option nodev va gravement endommager votre système, tout comme le monter en lecture seule. / dev / est généralement inférieur à quelques Mo, et la possibilité d'écrire dans les fichiers de périphériques peut causer des dégâts énormes et compromettre le système.
"/var" mettre l'option nodev, option noexec, option nosuid, pas d'option readonly, partion séparée seulement commentaire : /var est utilisé pour beaucoup de choses, dont la journalisation du système. Cette partition doit être séparée, car les attaquants peuvent tenter de la remplir en inondant les fichiers journaux. D'autres données utilisateur sont stockées ici, telles que les messages (/var /spool /mail ...). Les logiciels qui stockent des données ici comprennent: les serveurs de messagerie (Sendmail, Postfix...),les logiciels de proxy et FTP, etc. Il ne devrait y avoir aucun fichier binaire ici, juste des fichiers journaux et des données. Si vous le définissez noexec pour interrompre des programmes. Vous pouvez placer ces fichiers sur une autre partition et faire un lien symbolique entre les répertoires et /var.
inspiré de l'article
Aucun commentaire:
Enregistrer un commentaire