注册
个人空间
在安装文件系统时,使用一些参数可以提高文件系统的安全性和鲁棒性。使用mount命令检查哪些
参数生效,这些参数包括:nosuid、logging、noatime、size=xxxm、ro。
Mount参数
OS版本
描 述
用 途
nosuid
2.x
关闭SUID程序及SUID设备
不允许存在SUID的/var、 /home或者数据磁盘分区及设备(建议使用chroot environments).。如
果/tmp分区
不在磁盘上,此参数无效。
logging
2.7或者更高版本
为分区记录transaction日志。可以大提高文件系统检查的速度,特别是针对大容量的磁盘。缺点
是需要耗费时间进行写log的操作。
/usr /opt /home分区
建议除根区(如果使用了Veritas的VxVM)和对磁盘写性能要求非常高的分区外,都使用此参数。
noatime
2.7或者更高版本
允许mount的文件系统,在每次访问文件时对文件节点号不做更新,这样可以显著提高某些服务,
如对大量小文件进行频繁IO操作的web cache或者新闻服务。
/var或者文件频繁存取的分区 (web缓存或news分区)。
size=100m
2.5.1 or later
允许/tmp分区只使用100MB的交换空间。这个值通常取交换的30%。
在mount /tmp时使用
ro
2.x
只读。将文件系统mount成为只读只能对文件系统做有限制的保护(因为攻击者一旦取得root权限
,他可以将文件系统重新mount成读写)。
可以缩短系统启动时,执行fsck的时间,提高性能的同时,可以避免管理员无意中的错误(如误
删除文件等)。
/usr及/opt分区最好mount成为只读方式,但是将/usr分区mount成为只读方式的情况下,通常需
要将/usr/local建立的另外的分区上。
在编辑vfstab文件时要特别小心,对/ 及/usr分区的错误改动可能会导致系统不能引导。如果出
现这种情况,使用安装光盘将以单用户模式引导后,mount上有错误的磁盘,更正vfstab文件后,
reboot使改动生效。
下面是vfstab文件的两个例子:
一个只有/及/var的服务器,操作系统是Solaris2.8
fd - /dev/fd fd - no -
/proc - /proc proc - no -
/dev/dsk/c0t3d0s1 - - swap - no logging
/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0 / ufs 1 no logging
/dev/dsk/c0t3d0s7 /dev/rdsk/c0t3d0s7 /var ufs 1 no logging,nosuid,noatime
swap - /tmp tmpfs - yes size=100m
有较多分区的服务器
fd - /dev/fd fd - no -
/proc - /proc proc - no -
swap - /tmp tmpfs - yes size=200m
/dev/dsk/c0t8d0s0 /dev/rdsk/c0t8d0s0 / ufs 1 no logging
/dev/dsk/c0t8d0s1 - - swap - no -
/dev/dsk/c0t8d0s4 /dev/rdsk/c0t8d0s4 /usr ufs 1 no logging
/dev/dsk/c0t8d0s6 /dev/rdsk/c0t8d0s6 /var ufs 1 no nosuid,noatime,logging
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 系统 安全 安装 工具 使用 文件 edit 设置 可以 进行 |
