Linux

Hardening : Partitionnement

Il est usuel de réserver des partitions dédiées aux services pouvant générer beaucoup de volumétrie afin d’éviter de saturer les partitions système.
L’espace à réserver pour chaque partition dépend des cas d’usage : un serveur de fichiers aura besoin d’une volumétrie importante pour /srv ou /var/ftp/, tandis qu’un serveur de journaux sera plutôt concerné par la volumétrie utilisable pour /var/log.

Le partitionnement doit ainsi permettre de protéger et isoler les différents composants du système de fichiers. Il est par défaut souvent insatisfaisant : il ne tient pas suffisamment compte des options nosuid (ignore les bits setuid/setgid), nodev (ignore les fichiers spéciaux caractère ou bloc), et noexec (ignore les droits d’exécution).

Le partitionnement type recommandé est le suivant :

Point de montage	Options	Description
/	<sans option>	Partition racine, contient le reste de l’arborescence
/boot	nosuid,nodev,noexec (noauto optionnel)	Contient le noyau et le chargeur de démarrage. Pas d’accès nécessaire une fois le boot terminé (sauf mise à jour)
/opt	nosuid,nodev (ro optionnel)	Packages additionnels au système. Montage en lecture seule si non utilisé
/tmp	nosuid,nodev,noexec	Fichiers temporaires. Ne doit contenir que des éléments non exécutables. Nettoyé après redémarrage
/srv	nosuid,nodev (noexec,ro optionnels)	Contient des fichiers servis par un service type web, ftp, etc.
/home	nosuid,nodev,noexec	Contient les HOME utilisateurs. Montage en lecture seule si non utilisé
/proc	hidepid=1	Contient des informations sur les processus et le système
/usr	nodev	Contient la majorité des utilitaires et fichiers système
/var	nosuid,nodev,noexec	Partition contenant des fichiers variables pendant la vie du système (mails, fichiers PID, bases de données d’un service)
/var/log	nosuid,nodev,noexec	Contient les logs du système
/var/tmp	nosuid,nodev,noexec	Fichiers temporaires conservés après extinction