Config fstab

Bonjour,

J’aurais besoin des vos avis concernant la configuration du fstab. J’essaie d’installer une machine assez robuste, et pour moi, ça passe évidemment par le montage des partitions.

Voilà actuellement comment je vois les choses:
/boot ==> ro,nodev,nosuid,
/ ==> relatime,errors=remount-ro
/home ==> user,rw
/tmp ==> noexec,rw,nodev
/var ==> noexec,nodev,nosuid,rw
/var/tmp ==> noexec,rw
/opt ==> nodev,ro
/usr ==> noexec,nodev,ro
/usr/local ==> nodev,nosuid,ro
/usr/bin ==> nodev,ro
/usr/sbin ==> nodev,ro
/media ==> noauto,exec,utf8 (on enleve l’option user)

Le devenir de la machine: Une fois installée, il y a très peu de chance pour que des mises à jours soit effectuées, et si c’est le cas, je me pencherai dans la conf apt avec les script pre-install et post-install.
La machine sera installée depuis une iso netinstall et ne disposera que du strict minimum pour faire ce que je lui demande (à savoir du proxy), c’est pourquoi les partitions contenant les binaires peuvent à mon avis rester en read-only.

Je suis ouvert à toutes suggestions

(enlevez moi d’un doute, /lib, /bin, /sbin, et /etc ne peuvent pas être séparée de la racine sans quoi le système ne bootera pas?)

Merci.

Salut,

Je ne suis pas sûr que mettre en ro les partitions binaires susceptibles d’être mise à jour des “security” soit la meilleure idée.

[quote](enlevez moi d’un doute, /lib, /bin, /sbin, et /etc ne peuvent pas être séparée de la racine sans quoi le système ne bootera pas?)
[/quote]

Je n’ai jamais testé parce que je n’en ai pas vu l’intérêt, mais je ne suis pas sûr que ton affirmation soit exacte

Salut ggoodluck47,

Dans la mesure ou le système n’aura que très peu d’update, les partitions binaires en ro ne devrait pas poser de problème.
J’explorerai plus tard les possibilité d’invoquer un script pre-install (genre mount -o remount,rw /bin, etc …) puis un sript post-install (genre mount -a).

Pour ce qui est des partitions /lib etc … j’avais essayé à une époque d’installer une debian avec justement un /etc séparé. Je me suis fait jeté par le debian installer
Etant donné que le système doit lire le fstab pour monter les partitions, peut-être que ça pose problème si ce n’est pas sur la racine (Interprétation totalement personnelle et fondé sur pas grand chose, je dois le reconnaître).

Pour le reste, y a des choses à ajouter/enlever ?

Merci

Re,

Quand on sait qu’il est prudent de faire chaque jour les mises à jour de sécurité, quand on tient à son système, nous ne devons pas nous comprendre.

Quel intérêt y a-t-il à séparer

/boot ==> ro,nodev,nosuid, de sa racine
/var/tmp ==> noexec,rw de var
/usr/local ==> nodev,nosuid,ro de usr
/usr/bin ==> nodev,ro de usr
/usr/sbin ==> nodev,ro de usr
/media ==> noauto,exec,utf8 (on enleve l’option user) ce qui fait qu’il faut que root fasse le boulot ?

$ man hier

[code]/ This is the root directory. This is where the whole tree starts.

/bin This directory contains executable programs which are needed in single user mode and to bring the system up or repair it.
…
/etc Contains configuration files which are local to the machine. Some larger software packages, like X11, can have their own subdirectories below /etc. Site-wide configuration files may be placed here or in /usr/etc. Nevertheless, programs should always look for these files in /etc and you may have linksbfor these files to /usr/etc.
…
/lib This directory should hold those shared libraries that are necessary to boot the system and to run the commands in the root file system.

/sbin Like /bin, this directory holds commands needed to boot the system, but which are usually not executed by normal users.[/code]

En principe tu ne devrais pas les séparer mais tu peux toujours bidouiller sur certaines choses ( ce qui serait paradoxal lorsqu’on est assez prudent pour monter des partitions en noexec) .

@ggoodluck47

Il est important de faire des MAJ de sécurité sans aucun doute, mais dans ce cas précis, je ne les juge pas nécessaire (sauf grosse faille).
De plus, une machine à jour n’est pas un gage de sécurité, elle est juste moins vulnérable qu’une autre qui a 5 ans.
Maintenant et comme dit plus haut, je pourrais rapidement les faires, si la flème ne me ronge pas

Pour ce qui est du partitionnement, je vois les choses de cette manière (tout ce qui n’est pas nécessaire n’a pas lieux d’être):
Un /boot séparé: parce que LVM (à partir de là, pourquoi garder les options par défaut? cette partition a-t-elle besoin des options dev, suid ? pour moi non)

/var/tmp et /tmp : Ce sont des répertoires de stockage pour des fichiers temporaires. Pour moi, aucune raison qu’on puisse exécuter un script depuis ces répertoire (j’admet qu’en appelant les bonnes librairies, on peut tout de même exécuter du code). Là par contre, est-ce que j’ai besoin de l’option dev, je n’en suis pas certains. Pour l’option suid, je me pose encore la question, est-ce que ça a un lien direct avec le sticky-bit …

/usr/bin, /usr/sbin, /usr/local/bin (rectification, pas /usr/local): Dans /usr, on a des fichiers qui seront seulement lu (donc pas besoin de /usr avec en exec) mais par contre on a aussi des binaires, donc l’option exec est nécessaire pour les pt de montage cités.

Pour ce qui est de /media, je me suis juste basé la dessus:

Question: Is there a mission-critical reason to allow unprivileged users to mount CD-ROMs and floppy disk file systems on this system? If the answer to this question is no, then perform the action below. Action: cd /etc cp fstab fstab.tmp awk '/media/ { sub(/(users|user)/, "", $4); \ sub(/^,|,$/,"",$4); sub(/,,/,",",$4); \ printf("%s\t%s\t%s\t%s\t%s\t%s\n", $1, $2, $3, $4, $5, $6); next} \ { print }' fstab.tmp > fstab rm fstab.tmp Discussion: By default, Debian allows unprivileged users to mount cdrom and floppy devices. Allowing users to mount and access data from removable media drives makes it easier for malicious programs and data to be imported onto the network or data to be removed from the server. This item removes the user and users options from these devices. Therefor only allowing root to mount these devices. Note: By default, Debian mounts removable media beneath /media. The above script only modifies entries within the fstab that are mounted to this location. As such, administrators should review the fstab to ensure all removeable media devices lack the user or users option.

@etxeberrizahar
Je me suis dit que /etc devait rester sur la même partition que la racine pour le montage du système et avec lui les binaires nécessaires au montage entre autres (avec bien sûr les libraires nécessaires à ces même binaires).
Après, si il existe des bidouilles, je ne suis pas assez calé sur le sujet .

Merci à vous 2

Avez-vous d’autres remarques (ajout d’option? etc …)

Merci.