Я занимаюсь усилением защиты CentOS и наткнулся на статью, в которой предлагалось монтировать эти файловые системы на разные разделы:
/usr
/home
/var and /var/tmp
/tmp
Мне было интересно, что именно это дает с точки зрения защиты коробки?
В двух словах..
/var
здесь хранятся журналы.
/tmp
может быть написан кем угодно.
/home
здесь хранятся пользовательские данные.
/usr
обычно там, где установлено программное обеспечение.
Если бы эти местоположения хранились в одной файловой системе, эта файловая система могла бы быть полностью использована. Если /
были заполнены, это потенциально могло помешать правильной работе системы.
Кроме того, отдельные файловые системы могут быть смонтированы с разными настройками. Например, мне нравится монтировать /tmp
с участием noexec
и nosuid
. Если приложение было скомпрометировано и файлы были записаны в /tmp
, невозможность выполнения файлов явно ограничит возможность дальнейшего взлома системы.
Я бы порекомендовал прочитать больше о Стандарте иерархии файловой системы, чтобы лучше понять эти места, так как мое описание краткое и неполное.