Безопасность и оптимизация Linux.Редакция для Red Hat
Мы принимаем, что вы устанавливаете
(All) Мы принимаем, что вы устанавливаете Linux на новый диск, на котором нет никаких файловых или операционных систем. Хорошая стратегия разбития диска, это разделение его на отдельные разделы для каждой важной файловой системы.
Разбиение дика на несколько разделов дает следующие преимущества:
Защита от DoS (Denial of Service) атак
Защита от SUID программ
Более быстрая загрузка
Облегчение процедуры резервного копирования и обновления
Улучшенный контроль над смонтированными файловыми системами
Ограничение для каждой файловой системы возможности роста
Внимание. Если на вашем компьютере есть файловые системы, мы настоятельно рекомендуем сделать резервную копию вашей системы перед разбиением диска.
Шаг 1.
Исходя из соображений стабильности и безопасности мы рекомендуем разбить диск согласно принципам описанным ниже. Мы исходили из того, что у вас есть SCSI диск объемом 3.2 GB. Конечно, вы можете изменить размеры разделов, исходя из размеров вашего диска и личных нужд.
Разделы которые необходимо создать на вашем диске.
| /boot | 5MB | Образы ядер находятся здесь. |
| /usr | 512MB | Должен быть большим. Все двоичные файлы Linux хранятся здесь. |
| /home | 1146MB | Пропорционально числу пользователей (например, 10MB на пользователя * число пользователей 114 = 1140MB). |
| /chroot | 256MB | Если вы будете использовать программы с CHROOT (например DNS). |
| /cache | 256MB | Кэш раздел для прокси сервера (например, Squid). |
| /var | 256MB | Содержит файлы которые изменяются при нормальной работе системы (например, логфайлы). |
| <Swap> | 128MB | swap раздел. Виртуальная память Linux. |
| /tmp | 256MB | Раздел для временных файлов. |
| / | 256MB | Корневой раздел. |
Все основные файловые системы на отдельных раздела.
Мы создаем два специальных раздела /chroot и /cache. /chroot – для программ умеющий менять корневую файловую систему (chroot). К ним относятся DNS- сервер, Apache веб-сервер и ряд других программ. Раздел /cache предназначен для кэширующего прокси сервера Squid. Если вы не хотите использовать Squid, то вы можете не создавать его.
Расположите /tmp и /home на отдельных разделах, особенно если пользователи вашего сервера имеют shell-доступ к нему. Также хорошей идеей будет разместить на независимых разделах /var и /usr. Отделение /var защитит ваш корневой раздел от переполнения.
В нашей конфигурации мы зарезервировали 256 MB под /chroot. Это связано с тем, что на нем будут располагаться файлы из Apache DocumentRoot и другие исполняемые файлы, связанные с Apache. Заметим, что размер каталога Apache на /chroot зависит от общего объема занимаемого файлами из “DocumentRoot”. Если вы не планируете использовать Apache, то можете уменьшить размер этого раздела до 10 MB. Этого должно хватить для DNS-сервера.
Минимальные размеры разделов.
