Sichere Partitionierung

Linux Sichere Partitionierung

Besonders bei Linux-Servern, die ungeschützt im Internet stehen, ist eine gut geplante Installation notwendig. Ein Angreifer, der den Server zur Arbeitsverweigerung bringen möchte, wird unter anderem versuchen, das Dateisystem voll laufen zu lassen. Ist im Dateisystem erst einmal kein Platz mehr, quittieren möglicherweise einige Daemons ihren Dienst. Richtet man bei der Installation des Linux-Servers beispielsweise nur eine Root- und Swap-Partition ein, so gibt es einige Angriffspunkte.

Ein Angreifer könnte versuchen, die Größe der Log-Dateien (unterhalb von "/var/log/") zum Explodieren zu bringen. Ist auf dem Rechner Firewall-Logging aktiviert, könnte er den Rechner mit ungültigen Datenpaketen/Anfragen bombardieren. Für weitere Angriffe verrät ihm ein Portscan, welche interessanten Netzwerkdienste noch verfügbar sind.

Sind die Mailboxen der Benutzer unterhalb von "/var/mail/" gespeichert, könnte ein Angreifer versuchen, den Benutzern massenweise große E-Mails zuzusenden. Daher sollte man für das Verzeichnis "/var/" eine getrennte Partition anlegen.

Unterhalb von "/home" liegen die Homeverzeichnisse der Benutzer. Hat ein Angreifer Kennwörter von unverschlüsselten FTP- oder Telnet-Verbindungen aufgeschnappt, kann er sich als Benutzer anmelden und das Homeverzeichnis zum Überlaufen zu bringen. Daher sollte sich auch das "/home/"-Verzeichnis nicht auf der Root-Partition befinden.

Das "/tmp"-Verzeichnis besitzt die Eigenschaft, dass dort jeder Benutzer Dateien ablegen, aber nur seine eigenen wieder löschen kann. Aus diesem Grund ist dieses Verzeichnis ebenfalls auf einer getrennten Partition unterzubringen.

Damit die eigenen Benutzer nicht das System zum Stillstand zu bringen, sollte man die maximale Datengröße pro Benutzer beschränken. Dazu dienen sogenannten Disk-Quotas, die aus einem Kernel-Modul und diversen User-Space-Programmen bestehen.

Summasummarum sollten neben der Swap-Partition mindestens vier Linux-Partitionen verwendet werden. Bewährt hat sich beispielsweise folgende Partitionierung:

 

Mount-Point: Empfohlene Größe:
/ 500 MB
/usr 2000 MB
/var 1000 MB
/home > 500 MB
/tmp > 500 MB
Summe: > 4500 MB

Wie du der obigen Tabelle entnehmen kannst, wird das "/usr/"-Verzeichnis ebenfalls auf einer extra Partition untergebracht. Dadurch werden die Anwendungsprogramme vom Grundsystem getrennt.

Die Größenangaben in der Tabelle sind nur Vorschläge und sollten an die Aufgaben des Servers angepasst werden. Werden viele Benutzer eingerichtet, muss die "/home"-Partition entsprechend groß gewählt werden. Soll der Server für große Datenbanken, Logging oder größere Webprojekte eingesetzt werden, muss die Größe der "/var"-Partition angepasst werden. Werden Anwendungsprogramme unterhalb von "/opt" installiert, würde ich auch dieses Verzeichnis auf einer zusätzlichen Partition unterbringen.

Artikelbewertung: 
No votes yet
War dieser Artikel hilfreich?