Das Center for Internet Security (CIS) empfiehlt für RHEL und kompatible Distributionen ein Partitionierungsschema mit mehreren ausgelagerten Verzeichnissen wie /home, /tmp, /var und /var/log. Mit dem Logical Volume Manager (LVM) bleibt der administrative Aufwand für spätere Anpassungen überschaubar.
CIS empfiehlt separate Partitionen für sieben Verzeichnisse mit den folgenden Mount-Optionen:
| Verzeichnis | nodev |
nosuid |
noexec |
|---|---|---|---|
/tmp |
✓ | ✓ | ✓ |
/dev/shm |
✓ | ✓ | ✓ |
/home |
✓ | ✓ | |
/var |
✓ | ✓ | |
/var/tmp |
✓ | ✓ | ✓ |
/var/log |
✓ | ✓ | ✓ |
/var/log/audit |
✓ | ✓ | ✓ |
/dev/shm ist auf RHEL standardmässig tmpfs und muss in der Kickstart-Datei nicht explizit definiert werden.
Im Linuxfabrik/kickstart-Repo findet sich die gepflegte Variante als part_cis in
lf-rhel.cfg
. Wir ergänzen das CIS-Schema um eine eigene /backup-Partition (für lokale Backups, z.B. via linuxfabrik.lfops.borg_local), so kommen wir auf insgesamt acht Mountpoints plus Swap:
logvol / --fstype="xfs" --size=4096 --vgname=rl --name=root
logvol /backup --fstype="xfs" --size=1024 --vgname=rl --name=backup --fsoptions="nodev,noexec,nosuid"
logvol /home --fstype="xfs" --size=1024 --vgname=rl --name=home --fsoptions="nodev,nosuid"
logvol /tmp --fstype="xfs" --size=1024 --vgname=rl --name=tmp --fsoptions="nodev,noexec,nosuid"
logvol /var --fstype="xfs" --size=4096 --vgname=rl --name=var --fsoptions="nodev,nosuid"
logvol /var/log --fstype="xfs" --size=2048 --vgname=rl --name=var_log --fsoptions="nodev,noexec,nosuid"
logvol /var/log/audit --fstype="xfs" --size=512 --vgname=rl --name=var_log_audit --fsoptions="nodev,noexec,nosuid"
logvol /var/tmp --fstype="xfs" --size=1024 --vgname=rl --name=var_tmp --fsoptions="nodev,noexec,nosuid"
logvol swap --fstype="swap" --recommended --vgname=rl --name=swapDie Volume-Group heisst rl (Rocky Linux). Bei einer RHEL-Installation kann sie rhel heissen, der Name ist eine reine Konvention und kann angepasst werden.
/dev/shm wird vom System automatisch als tmpfs mit nodev,nosuid,noexec gemountet, sofern /etc/fstab eine entsprechende Zeile enthält. Im Standard ist das auf RHEL bereits der Fall./home und /var erhalten kein noexec, da dort regulär ausführbare Dateien liegen können (User-Skripte, Pakete in /var/lib)./var/log und /var/log/audit sinnvoll, je nach Logging-Volumen.Brauchst du Unterstützung beim CIS-Hardening deiner Linux-Server? Schau dir doch mal unsere Service & Support-Modelle an und melde dich bei uns.
