Bezpecnost Linuxu pomoci RO partisny
Alexandr Nikolski
sash na mujmail.cz
Pondělí Květen 24 15:04:31 CEST 1999
On Mon, 24 May 1999, Oto Buchta wrote:
> Ahojte.
Nazdar.
> Potrebuju postavit hodne bezpecnou masinu, na kterou nebudu mit moc casu na
> spravu a tak jsem uvazoval, jak by se dal RedHat nebo Debian rozjet na stroji,
> kde by vetsina veci byla RO. Predstavoval bych si to asi takto:
> sda1 - rw - 50 MB - mount point /
> sda2 - ro - 20 MB - /boot
> sda3 - extended partition
> sda4 - swap 64 MB
> sda5 - ro - 200 MB - /mnt/disk
> sda6 - ro - 10 MB - /dev
> sda7 - rw - 220 MB - /home
>
> a par dalsich symlinku:
> /bin -> /mnt/disk/bin
> /etc -> /mnt/disk/etc
> /lib -> /mnt/disk/lib
> /sbin -> /mnt/disk/sbin
> /usr -> /mnt/disk/usr
>
> Na disku sda1 budou pouze adresare
> /var
> /tmp
>
> Byl by nekde problem? Obzvlaste pak u ro /dev. Nebo bude lepsi dat /dev na sda1
Ale prosim vas! Nemuzete primountovat nejakou partisnu pokud neni v /dev.
A protoze nemate partisnu s dev primountovanou, tak v /dev nic nebude!
/etc musi byt tez na root filesystemu, alespon /etc/fstab, protoze jinak
pocitac nebude vedet, kam co ma primountovat. Jeste mount je v /bin, ale o
nem nevim jestli je potreba pri defaultnim mountovani. Takze na sda1
dejte /dev/sd1-7, /etc/fstab, /bin/mount a jeste to, co potrebuje mount v
/lib (vsechny musi byt i na partisnach, ktere budete mountovat).
> a uvolnenou partitionu pouzit na ro /etc nebo na samostatnou partitionu pro
> nejaky security program, pravdepodobne ViperDB.pl?
>
> Masina bude vyuzivana jako mail-server (qmail neznam, takze zatim sendmail) pro
> pristup pres pop3, www-server (apache) + MySQL + PHP + Perl, neanonymni ftp, do
> deseti uzivatelu.
>
> Diky moc,
>
> Oto Buchta
>
> P.S.: Nevite, jak "rozumne" (systemove) zakazat pristup pro telnet, ale umoznit
> ssh?
Pokud jsem nekde udelal chybu, oznamte mi to prosim.
Alexandr Nikolski
sash na mujmail.cz
alex.nikolski na ostrava.czcom.cz
Další informace o konferenci Linux