====== Linux ====== ===== Hardening : Partitionnement ===== \\ Il est usuel de réserver des partitions dédiées aux services pouvant générer beaucoup de volumétrie afin d’éviter de saturer les partitions système.\\ L’espace à réserver pour chaque partition dépend des cas d’usage : un serveur de fichiers aura besoin d’une volumétrie importante pour /srv ou /var/ftp/, tandis qu’un serveur de journaux sera plutôt concerné par la volumétrie utilisable pour /var/log. Le partitionnement doit ainsi permettre de protéger et isoler les différents composants du système de fichiers. Il est par défaut souvent insatisfaisant : il ne tient pas suffisamment compte des options nosuid (ignore les bits setuid/setgid), nodev (ignore les fichiers spéciaux caractère ou bloc), et noexec (ignore les droits d’exécution). **Le partitionnement type recommandé est le suivant :** ^Point de montage ^Options ^Description ^ |/ | |Partition racine, contient le reste de l’arborescence | |/boot |nosuid,nodev,noexec\\ (noauto optionnel) |Contient le noyau et le chargeur de démarrage.\\ Pas d’accès nécessaire une fois le boot terminé (sauf mise à jour) | |/opt |nosuid,nodev\\ (ro optionnel) |Packages additionnels au système.\\ Montage en lecture seule si non utilisé | |/tmp |nosuid,nodev,noexec |Fichiers temporaires.\\ Ne doit contenir que des éléments non exécutables. Nettoyé après redémarrage | |/srv |nosuid,nodev\\ (noexec,ro optionnels) |Contient des fichiers servis par un service type web, ftp, etc. | |/home |nosuid,nodev,noexec |Contient les HOME utilisateurs.\\ Montage en lecture seule si non utilisé | |/proc |hidepid=1 |Contient des informations sur les processus et le système | |/usr |nodev |Contient la majorité des utilitaires et fichiers système | |/var |nosuid,nodev,noexec |Partition contenant des fichiers variables pendant la vie du système (mails, fichiers PID, bases de données d’un service) | |/var/log |nosuid,nodev,noexec |Contient les logs du système | |/var/tmp |nosuid,nodev,noexec |Fichiers temporaires conservés après extinction |