Hilfe bei Partitionen

Lesenswerte Artikel, Anleitungen und Diskussionen
Anonymous

Hilfe bei Partitionen

Post by Anonymous » 2004-02-26 10:12

Hallo Rooties,

ich habe meinen Rootserver bei Schlund auf ein Suse 9.1 System reinitialisieren lassen.

Nur haben die leider die Platte wie folgt partitioniert:

No. Type Extent Start End Use Free
1 Linux 1 66 / 0 %
2 Linux swap 67 321 swap
4 Extended 322 9729
5 Linux 322 959 /usr 91 %
6 Linux 960 1597 /var 99 %
7 Linux 1598 9729 /home 99 %

Ich hätte jedoch gerne nur die:

Boot wie gehabt und ohne Ã?nderung
Swap wie gehabt und ohne Ã?nderung

der ganze andere Rest (/, /home, /var, /usr)
sollte in einer großen Partition / liegen.

Wie kann ich das am einfachsten machen.

Danke für jede Hilfe.

GHN

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe bei Partitionen

Post by captaincrunch » 2004-02-26 10:16

Gegenfrage: warum willst du alles in ein FS packen?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Anonymous

Re: Hilfe bei Partitionen

Post by Anonymous » 2004-02-26 10:24

Weil wir auf allen anderen Systemen die gleiche Konfiguration haben und für uns somit die Administration / schnelles wechseln der Syteme einfacher geht.

GHN

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe bei Partitionen

Post by captaincrunch » 2004-02-26 10:27

Ich persönlich halte es zwar für gefährlich, alles in ein großes FS zu legen, aber gut:
http://www.rootforum.org/faq/index.php ... =2&lang=de

Ist zwar für SuSE, aber parted wird sich auf einem RedHat-System nicht großartig anders verhalten. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Anonymous

Re: Hilfe bei Partitionen

Post by Anonymous » 2004-02-26 10:30

Danke ! :-D

Das hätte ich auch selber finden können :(

GHN

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Hilfe bei Partitionen

Post by andreask2 » 2004-02-26 23:55

Hallo!
CaptainCrunch wrote:Ich persönlich halte es zwar für gefährlich, alles in ein großes FS zu legen, aber gut:
Wieso gefährlich? Das Partitionieren alleien kann ja eigentlich nicht viel bringen, es kann verhindern dass die ganze Festplatte "volläuft" und so das System unbrauchbar wird, aber weitergehenden Nutzern kann man doch nur ziehen, wenn man mit entsprechenden Optionen mountet, die in verschiedenen Verzeichnissen strengere Rechte verteilen.

Mal noch eine "leere" /etc/fstab:

Code: Select all

/dev/hda1          /boot         ext3          noauto,noatime       1 2
/dev/hda2          swap          swap          sw                   0 0
/dev/hda3          /             ext3          noatime              1 1
/dev/hda4          /usr          ext3          defaults             0 2
/dev/hda5          /home         ext3          defaults             0 2
/dev/hda6          /tmp          ext3          defaults             0 2
/dev/hda7          /var          ext3          defaults             0 2
Sind das die Partitionen die Du auch verwenden würdest? Ich weiß, kommt auf die Installation an, bei mir läuft eigentlich nur ein Webserver und ein Datenbank-Server. Als Distribution kommt gentoo zu Einsatz ;-)

Auf dem Webserver läuft im Prinzip nur ein Projekt(selbst programmiert, mod_php+mod_ssl), dafür 5-20 Instanzen davon, als virtual hosts.

Man kann ja beim mounten viel Rechte schon grundsätzlich einschränken - nur habe ich noch nicht so ganz raus wie am besten.

Zunächst mal zu /tmp - ich habe des öfteren gelesen dass man das mit noexec mounten soll - da viele "hacks" darauf ausgerichtet sind eine Datei in /tmp runterzuladen und dort austzführen. Auf der anderen Seite macht das wohl bei einigen Programmen Probleme - was mich allerdings wundert - wer zum Henker muss denn bitte in /tmp ausführen können?

Selbiges würde ich mal für /var sagen. Da liegen die Logs und Datenbank-Daten, und im Fall von Gentoo auch die Webseiten (/var/www).

Die Webseiten sind auch ein besonderer Punkt. Man kann in PHP den Zugriff durch PHP-Funktionen aufein Verzeichnis beschränken - was eigentlich recht effektiv funktionieren sollte - bliebe nur noch die Sicherheitslücke über Shell-Aufrufe wie exec..., aber das kann man wohl nur durch ein chroot entschärfen. Zurück zum Thema: Der Webserver-User sollte nur in Unterverzeichnisse von /var/www schreiben dürfen und in diesen Verzeichnissen nichts ausführen dürfen. Das müsste sich doch durch ein noexec auf /var + entsprechende Rechte im Dateisystem erreichen lassen.

Das sind eigentlich meine bisherigen Gedanken zum Thema, wie würdest Du die /etc/fstab noch anpassen um das System möglichst sicher zu konfigurieren?

Eine Zusatzfrage: Warum zum Henker gehören Datenbank-Daten in /var/lib? "lib" hat für mich immer was von "Bibliothek", oder? Aber das steht ja so auch im Standard, nur finde ich es irgendwie komisch.


Viele Grüße,
Andreas

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Hilfe bei Partitionen

Post by dodolin » 2004-02-27 00:45

Ich würde auf jeden Fall noch /var/log separat legen. Ansonsten gibts zu diesem Thema genügend Literatur: Securing Debian, Securing Gentoo, ...

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Hilfe bei Partitionen

Post by andreask2 » 2004-02-27 01:47

Stimmt, da ist die Gefahr am größten dass es überläuft (oder aus einem anderen Grund?).
Und ich habe zumindest das Gentoo-Securtity Manual bereits gelesen.

Ich habe mal die Partitionen, wie ich es jetzt machen würde angegeben:

Code: Select all

/dev/hda1          /boot         ext3          noauto,noatime                            1 1
/dev/hda2          swap          swap          sw                                        0 0
/dev/hda3          /             ext3          notail,noatime                            0 0
/dev/hda4          /usr          ext3          notail,noatime,nodev,ro                   0 0
/dev/hda5          /home         ext3          notail,noatime,nodev,nosuid               0 0
/dev/hda6          /tmp          ext3          notail,noatime,nodev,nosuid,noexec        0 0
/dev/hda7          /var          ext3          notail,noatime,nodev                      0 0 
/dev/hda8          /var/www      ext3          notail,noatime,nodev,nosuid,noexec        0 0 
/dev/hda9          /var/log      xfs           notail,noatime,nodev,nosuid,noexec        0 0 
/dev/hda10         /var/lib      xfs           notail,noatime,nodev,nosuid,noexec        0 0 
Wobei mir das jetzt schon etwas viel wird mit 10 Partitionen ;-)

Vor allem /var finde ich noch etwas unglücklich, das Problem ist, dass gentoo Dateien in /var/tmp ausführen muss (im Zusammenhang mit Portage), daher habe ich die drei Verzeichnisse in denen nichts ausgeführt werden soll als extra Partitionen gemountet:
/var/www (Webseiten)
/var/lib (Datenbank)
/var/log (Logs)
/usr mit "ro" gemountet, mal sehen ob das praktikabel ist.


Viele Grüße,
Andreas

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe bei Partitionen

Post by captaincrunch » 2004-03-16 20:49

Sorry, dass ich diesen alten Thread wieder hoch hole, aber ich bin dabei gerade auf etwas relativ interessantes für die Thematik gestossen:

Wer /tmp "noexec" mountet, verhindert immer noch nicht, dass ein potenzieller Angreifer Binaries nicht doch direkt über die libc aufruft. Im 2.6er-Kernel ist dieser "Bug" mittlerweile gefixt. Hier ( http://linux.bkbits.net:8080/linux-2.4/cset@1.1267.1.85 ) findet sich eine Rückportierung auf den 2.4er-Kernel der das genau so verhindert, wodurch sich die Sicherheit noch etwas erhöhen lässt.

Ich hoffe, irgend jemandem bringt diese Information irgendwas. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Hilfe bei Partitionen

Post by dea » 2004-03-16 21:06

Ui - endlich kein ld-linux.so mehr :-D

Hoffentlich funktioniert es auch wirklich zuverlässig :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe bei Partitionen

Post by captaincrunch » 2004-03-16 21:10

Getestet habe ich's noch nicht, falls jemand vor mir dazu kommt, würde ich mich sehr über Feedback freuen. ;)

EDIT: Der Patch scheint bereits in aktuellen Kernelversionen (soweit ich momentan sehen kann >=2.4.24, 2.4.25 auf jeden Fall) eingeflossen zu sein.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc