32.13 Partitionierungen
Entgegen einer verbreiteten Ansicht beginnt die Systemabsicherung nicht erst nach, sondern bereits während der Installation. Ein gutes Beispiel hierfür ist die Partitionierung.
Ist die Partition /var etwa zu klein, kann sie durch DoS-Angriffe leicht überfüllt und der Rechner lahmgelegt werden.
Ein weiterer wichtiger Punkt, den es nach der Partitionierung zu beachten gilt, ist das Mounting. Ein kluger Administrator verwendet die mount-Optionen nodev, noexec, nosuid und rdonly.
nodev erlaubt zum Beispiel keine Gerätedateien auf einer Partition. Die Option noexec unterbindet das Ausführen von Binärdateien, nosuid das Ausführen von SUID-Binarys, und rdonly bietet Schreibschutz.
Nehmen wir als Beispiel eine /home-Partition, auf der die Heimatverzeichnisse der Benutzer liegen. Solch eine Partition sollte durchaus mit den Optionen noexec und nosuid gemountet werden, um die Ausführung von lokalen Exploits zu unterbinden. [Fn. Wobei man nicht vergessen sollte, auch die mount-Optionen der Partition /tmp zu bedenken.]
Partitionen wie /usr können in aller Regel rdonly eingehängt werden und müssen nur zu Update-Zwecken ohne Schreibschutz eingehängt werden.
Eine weitere gute Idee ist es, die Partition /tmp nicht nur als Verzeichnis in / zu erzeugen, sondern tatsächlich als eigene Partition einzuhängen, damit Angreifer nicht die Möglichkeit bekommen, das Root-Dateisystem bis zum Anschlag zu füllen.
Zur Sicherung der Privatsphäre der Benutzer ist es zudem wichtig, den Benutzern keine Leserechte auf die Heimatverzeichnisse anderer Benutzer zu gewähren. Sie können diese Rechte-Konfiguration mit dem Sticky-Bit umsetzen.
Ihr Kommentar
Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.
