nodev私の目標は、nosuidマウントオプションを使用してLinuxサーバーのセキュリティを向上させることですnoexec。私のファイルを示す添付画像を見つけてくださいfstab。
私の質問は、/bootUUID行に書き込むことです。/tmp設定nodevとオプションnosuidのようですがnoexec。/boot混乱している場合は、/tmp何をさらに変更する必要がありますか?/bootに変更できますか/tmp?これはどのような影響を及ぼしますか?
ベストアンサー1
/bootファイルシステムを次の再起動後に/tmpinに変更すると、/etc/fstabカーネルファイルとinitramfsファイルがその中にあり、システムに起動/tmp時または定期的にクリーンアップする自動プロセスがある場合は削除されます。/tmpその後、クリーンアッププロセスが/boot-as-/tmpファイルシステムからカーネルファイルとinitramfsファイルを削除すると、システムは再起動されません。
/boot現在のファイルシステムのサイズを適切に調整するには、/tmpまず次のことを行う必要があります。
- ブートローダのバージョンがLVM論理ボリュームからカーネルファイルとinitramfsファイルを読み取ることができることを確認してください。
- ファイルシステムを
/boot一時的な場所(たとえば)にマウントし、カーネルファイルと/mntinitramfsファイルを/mnt(以前は/boot)新しい/bootディレクトリにコピーまたは移動します。このディレクトリは、ルートファイルシステムの一般的なディレクトリです。 - ブートローダを再インストールし、実際には以前の独立したファイルシステムではなく、LVMベースのルートファイルシステムからカーネルファイルとinitramfsファイルを読み取るように設定されていることを確認してください。
/boot /boot古いファイルシステムを実際に再利用する前に、システムを一度起動して間違いがないことを確認してください。/tmp
これらの作業はすべて細心の作業を必要とし、間違っているとシステムが起動しない可能性があります。他の選択肢がない限り、他の目的に使用しないことをお勧めします/boot。/tmp
代わりに別々のファイルシステムが必要な場合は、/tmpRAMベースのファイルシステムを使用できますtmpfs。デフォルトでは、次の新しい行を追加するだけです/etc/fstab。
tmpfs /tmp tmpfs defaults,nodev,nosuid,noexec 0 0
/tmpシステムを再起動すると、セキュリティオプションが適用されたRAMベースのファイルシステムがあります。
または、再起動後もコンテンツを保持するボリュームが必要で、/tmpボリュームグループに割り当てられていないスペースがあるvg_smpp場合/tmp。
- まず、このコマンドを使用して、ボリュームグループに目的に合った未割り当て領域が十分にあることを
vgs確認します。この列がゼロでない場合は、ボリュームグループに割り当てられていない空き領域があります。vg_smppVFree - 未割り当て領域がある場合は、それを使用して
lvcreate -L <desired size> -n lv_tmp vg_smpp新しい論理ボリュームを作成できます/dev/mapper/vg_smpp-lv_tmp。<desired size>新しいファイルシステムに必要なサイズに置き換えてください/tmp。 - 論理ボリュームを作成したら、そのボリュームにファイルシステムを作成する必要があります
mkfs.ext4 /dev/mapper/vg_smpp-lv_tmp。 /etc/fstabその後、ここに1行を追加できます。/dev/mapper/vg_smpp-lv_tmp /tmp ext4 デフォルト、nodev、nosuid、noexec 1 2
/tmpこれで、既存のディレクトリにインストールできますmount /tmp。次のステップはchmod 1777 /tmp、新しくマウントされdrwxrwxrwtた/ tmpファイルシステムに適切な権限を設定することです。つまり、誰でも/tmpファイルシステムを使用でき、ファイルまたはサブディレクトリの所有者のみを削除できるという追加の制限があります。これはディレクトリの標準であり、予想される権限のセットです/tmp。アクティブな一時ファイルを含む既存のプログラムは、この交換によって少し混乱する可能性があるため、この時点で再起動するのが最善です。