Назад | Перейти на главную страницу

Преимущества разделения файлов операционной системы из пользовательских файлов на разные разделы

Я занимаюсь усилением защиты CentOS и наткнулся на статью, в которой предлагалось монтировать эти файловые системы на разные разделы:

/usr
/home
/var and /var/tmp
/tmp

Мне было интересно, что именно это дает с точки зрения защиты коробки?

В двух словах..

/var здесь хранятся журналы.

/tmp может быть написан кем угодно.

/home здесь хранятся пользовательские данные.

/usr обычно там, где установлено программное обеспечение.

Если бы эти местоположения хранились в одной файловой системе, эта файловая система могла бы быть полностью использована. Если / были заполнены, это потенциально могло помешать правильной работе системы.

Кроме того, отдельные файловые системы могут быть смонтированы с разными настройками. Например, мне нравится монтировать /tmp с участием noexec и nosuid. Если приложение было скомпрометировано и файлы были записаны в /tmp, невозможность выполнения файлов явно ограничит возможность дальнейшего взлома системы.

Я бы порекомендовал прочитать больше о Стандарте иерархии файловой системы, чтобы лучше понять эти места, так как мое описание краткое и неполное.