RootForum Community

Hi
Ich mache mir gerade Gedanken über das Partitionsschema für einen neuen Server.

Bisher hatte ich /tmp und /var/tmp jeweils separat. Ich würde jetzt gerne für beide die selbe Partition nutzen. Kann es dabei zu irgendwelchen Problemen kommen oder spricht sonst etwas dagegen? Nach einem kurzen Test scheint es so wie erwartet zu funktionieren, ich möchte aber ungern später dadurch irgendwelche Probleme bekommen...

Also bspw. die Partition /dev/hdd3 sowohl nach /tmp und /var/tmp mounten.
Mir ist bewusst, dass ich das auch mit einem Link machen könnte, würde aber lieber direkt die Partition zweimal einbinden.

Ah ja, und wenn ich eh schon Frage :) Gibt es irgendeinen vernünftigen Grund, warum /usr auf einer separaten Partition sein sollte? Ich sehe keinen und finde auch im Netz bisher nur Aussagen die in Richtung "das macht man einfach so weil man es immer schon so gemacht hat" gehen.

Besten Dank.

static

/var/tmp auf eine seperate Partition auszulagern kann je nach Konfiguration und Nutzung des Systems sinnvoll sein, aber nicht das Mixen mit /tmp. /tmp sollte besser als "tmpfs" mit "noexec.nosuid,nodev,mode=1777" gemountet sein. /usr kann man auslagern um es readonly zu mounten und so gegen Manipulationen und Hardlinks zu schützen...

Also ich hab /var/tmp als soft link auf /tmp welches ein tmpfs mit noexec,mode=1777 gemountet wird.
Bis jetzt konnte ich noch keinen nachteil feststellen.

http://www.pathname.com/fhs/pub/fhs-2.3 ... ORARYFILES
http://www.pathname.com/fhs/pub/fhs-2.3 ... RVEDBETWEE

Past also.

Files and directories located in /var/tmp must not be deleted when the system is booted.

must not .. but can

Although data stored in /var/tmp is typically deleted in a site-specific manner

Als Site-Admin hab ich eben reboot dafür definiert.

it is recommended that deletions occur at a less frequent interval than /tmp.

recommended ... nicht required ;)

Danke euch beiden. Ich glaube dann lasse ich das lieber. Also /var/tmp weiterhin normal auf /var und nur eine separte Partition für /tmp. Damit kann ja eigentlich nichts schief gehen.

@Indiana wenn wir schon bei Standards sind:

Indiana wrote:

Files and directories located in /var/tmp must not be deleted when the system is booted.

must not .. but can

Also "must not" ist ja eigentlich so definiert:

2. MUST NOT This phrase, or the phrase "SHALL NOT", mean that the
definition is an absolute prohibition of the specification.

Will man sich an den Standard halten, darf man sie eben nicht löschen beim Reboot :)

Aber wie gesagt, spielt sowieso keine Rolle, ich lass es sein :twisted:

static

Indiana wrote:must not .. but can

8O "Must not" im englischen hat die Bedeutung "nicht dürfen" (siehe http://dict.leo.org/ende?lp=ende&p=/gQP ... h=must+not). "Nicht müssen" ist ein false friend und würde im Englischen mit "not need" übersetzt...

http://www.gentoo.org/doc/de/security/security-handbook.xml?part=1&chap=4 bietet noch ein paar Anregungen, wozu man sein System auf verschiedene Partitionen verteilen könnte...

ups :roll: kann ja mal vorkommen das man das falsch übersetzt.
In welchem Interval solte man dann das /var/tmp löschen lassen?

Indiana wrote:ups :roll: kann ja mal vorkommen das man das falsch übersetzt.
In welchem Interval solte man dann das /var/tmp löschen lassen?

Eigentlich garnicht, da gute Programme die Files darin selbst wieder verschwinden lassen.

Wichtiger finde ich /var/tmp wie Joe User es für /tmp vorgeschlagen hat zu mounten. Sprich noexec,nosuid,nodev.

Nurnoch /tmp noxec zu mounten ist zwar besser wie nix aber wenn wirklich mal die Hütte brennt können die Bots/Hacker etc. genausogut /var/tmp verwenden.
Wenn natürlich "find / -type d -perm 0777" Ergebnisse in 5 stelliger Anzahl ausgibt hilft das alles nichts mehr.

Aber ist imho ein weiterer Schritt für das persönliche Sicherheitskonzept.

noexec für /tmp ist ja grundsätzlich eine gute Idee. Leider lese ich da sofort wieder von Inkompatibilitäten - sprich Programmen, die in /tmp irgendwas ablegen, dass ausgeführt werden muss. Konkret bisher dpkg (bzw. apt-get) und logrotate. Kann ich davon ausgehen, dass es mit diesen 2 Programmen getan ist, oder kommt da noch mehr auf mich zu?

static

apt lässt sich leicht umkonfigurieren (SuFu des Boards)
Das logrotate etwas ausführbares?! in /tmp ablegt ist mir bisher unbekannt.

In irgendeiner SuSE-Distri (glaube, es war 9.3) hat logrotate den postrotate-Abschnitt nicht ausführen können, wenn /tmp noexec gemounted war - ergo kamen dann auch keine SIGHUPs, so dass die Logs z. T. leer blieben...

jfreund wrote:In irgendeiner SuSE-Distri (glaube, es war 9.3)

Was auch erklärt warum ich davon bisher nichts mitbekommen hab :)