0-PARTICIONAR: (0.01) (potato) *EN MEJORA* Particionado mínimo del disco duro en base a la seguridad ANTES DE EMPEZAR: Si vas a reinstalar leete mi chuleta 0-REINSTALAR primero Vamos a hacer el mínimo de particiones para mejorar la seguridad. Parto de la base que tenemos 20GBytes de disco (o más ;-) Punto: Tamaño: Modo: Uso: swap 128M - Partición de intercambio / 1024M - Todo lo demás (sin /usr <50MB) 1024M Partición comodín ¿/usr/bin? ----Partición extendida---- 128M Partición comodín /var 1024M nosuid,nodev,[1] Cachés y datos de demonios /var/log 1024M nosuid,nodev,noexec Logs /tmp 1024M nosuid,nodev,[2] Archivos temporales /home Resto nosuid,nodev,¿noexec? Datos de usuarios ¿PORQUE? En general: Las particiones que no vamos a escanear buscando signos de intrusión con tripwire debemos montarlas como "nosuid" y "nodev" y cuando se pueda como "noexec" para que un intruso no pueda guardar nada o como mínimo programas suid que le sirvan de "puerta trasera" /var Contiene las cachés y areas de trabajo de muchos demonios /var/log Contiene todos los logs - Podemos recibir ataques de inundación de logs, si están en su propia partición en teoría no afectarán al funcionamiento del resto del sistema /tmp Archivos temporales (incluyendo las impresiones) - Todo el mundo puede escribir en /tmp es importante montarlo "nosuid" y "nodev" y si es posible también "noexec" /home Solo si tienes usuarios (de consola) o con los home de samba - Es deseable que los datos de usuario no te puedan bloquear el sistema por falta de espacio EXCEPCIONES A "NOXEC" [1] /var y "noexec" var no puede ser "noexec" ya que no se ejecutan los scripts de instalación y desinstalación de los paquetes debian, que se guardan en /var/lib/dpkg/info [2] /tmp y "noexec" mc guarda programas en /tmp por ejemplo cuando "entramos" en un archivo comprimido con gzip, así que hay que decidir que preferimos, comodidad con el mc o algo más de seguridad... MAS INFO - Multi-Disk-HOWTO Uso de múltiples discos/particiones con Linux