optimale Partitionierung für Firewall-Rechner

Post Reply
Message
Author
Swen

optimale Partitionierung für Firewall-Rechner

#1 Post by Swen »

Hallo,

ich habe einen reinen Firewall Rechner mit absolut minimalem System und Kernel. Wie lege ich am besten und vor allem am sichersten die Partitionen an, wie groß (40 GB Platte) und welche Rechte muß ich vergeben?

Beispiel:

/ ro 1 GB
/usr ro 2 GB
/var rw, nosuid, nodev 2 GB
/tmp rw, nosuid, nodev, noexec 500 MB
/home rw, nosuid, nodev, noexec 1 GB

Was ist mit einem /boot Verzeichnis? Kann man / und /usr nicht zusammenlassen (also /usr weglassen), haben doch die gleichen Rechte? Braucht man unbedingt /tmp ? /home kann ich doch eigentlich auch vollkommen weglassen, oder? Es gibt keine Benutzer auf dem Rechner.

Danke für Eure Tip's !!
Swen

ratte

Re: optimale Partitionierung für Firewall-Rechner

#2 Post by ratte »

der mir bekannte grund zwecks sicherheit linux auf verschiedenen partitionen zu verstreuen ;) ist der, dass bei manchen exploits das filesystem (di. die partition) nicht (ohne weiteres) ueberwunden werden kann.
zudem ist bei filesystem beschaedigung uU. nicht gleich das gesamte system betroffen.

dazu kommt, wenn /tmp auf eigener partition zu 100% voll ist, man trotzdem noch ein login schafft, wenn das linux nur auf einer partition liegt, das filesytem zu 100% voll ist, funzt kein login mehr (lustige systemmeldung beim einloggen:<i>You don't exist, go away!</i>)

/tmp 500MB ist notwendig, rw
/etc 500MB muss beschreibbar sein(zb. mtab), kann aber keine eigene partition sein (sonst bootet nicht), dh. / 2GB rw
/usr 2GB readonly
/var 500MB rw

wenn's keine user hat, ist /home ueberfluessig, jedoch solltest du das nicht tun! um die sicherheit auf deinen firewall-rechner zu erhoehen, solltest du kein root-login erlauben und einen user anlegen, der mittels su - root werden darf. nicht die ultimative sicherheitsregel, jedoch muss ein einbrecher 2 passwoerter knacken. besonders gilt das fuer ssh-logins.

angegebene groessen sind pi*daumen und minimalgroessen.

noch viel interessanter ist natuerlich ein filesystem im ram und die platte ro setzen :)

ratte

Jochen

Re: optimale Partitionierung für Firewall-Rechner

#3 Post by Jochen »

<blockquote><hr>angegebene groessen sind pi*daumen und minimalgroessen.<hr></blockquote>I beg to differ! <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Nun ist es bei 40GB Platz zur Verfügung sowieso egal, aber 2GB /usr braucht man nur wenn man beispielsweise KDE unter /usr installieren will (wie RH). Aber ein minimales Firewall-System ist mit 1 GB Plattenplatz m.E. schon üppig ausgelegt (>80% free). Proxies, MTAs u.ä. haben schliesslich auf solchen Systemen nix verloren.

Nach persönlicher Erfahrung ist ohne weiteres eine Aufteilung in <pre>/ 60 MB
/tmp 20 MB
/var 100 MB
/usr 300 MB</pre>

möglich und bequem mit Luft zu benutzen. /home darf dann ohne weiteres ein Link auf beispielsweise /var/home sein, einige Leute verzichten auch auf /tmp und linken es nach /var/tmp. Das mag ich persönlich nicht so gerne, weil dann im Falle des Falles (ausser / nix gemountet) kein vernünftiges /tmp da ist, aber das ist Geschmackssache. Die Grössen von /usr und /var lassen sich auch etwas gegeneinander verschieben, wenn man mehr als 100MB Platz für Logfiles haben will (kann bei einer Attacke ja recht schnell recht viel werden).

Jochen

Swen

Re: optimale Partitionierung für Firewall-Rechner

#4 Post by Swen »

Danke für Eure Hilfe !!

Sag mal Ratte, bist Du sicher, daß /etc also auch / schreibbar sein muß? An der mtab ändert sich doch nach der Installation nichts mehr, oder?

Swen

PS.: Eigentlich wollte ich gern ein System von CD starten und nur schreibbare Partitionen auf Platte legen, aber das bekomm ich als Linux-Anfänger eh nicht hin. Außerdem sind die Updates dann so schwer.

Descartes

Re: optimale Partitionierung für Firewall-Rechner

#5 Post by Descartes »

Was heisst hier "optimale Partitionierung" ?

Eine Firewall sollte sicher sein auch wenn sie gehackt wird und was ist sicherer als eine Firewall auf CD-ROM (bootbar !) die ihre Einstellungen von einer schreibgeschützten (!) Diskette bezieht.

Swen

Re: optimale Partitionierung für Firewall-Rechner

#6 Post by Swen »

Hi,

das ist bestimmt die sicherste Lösung, aber wie schon gesagt ist die Erstellung für den Nicht-Linux-Profi ziehmlich kompliziert (System auf CD, Einstellungen auf Diskette, schreibbare Partitionen auf Platte). Außerdem wenn sich an der Konfiguration mal was ändert (z.B. neue Netzwerkkarte) ist das ein riesen Aufwand eine neue CD zu erstellen und das dauert und und und. Also glaube ich (wie gesagt als Nicht-Profi) das es reichen müßte die Partitionen / und /usr auf readonly zu setzen, oder lohn sich dieser Aufwand?

marsem

Re: optimale Partitionierung für Firewall-Rechner

#7 Post by marsem »

Hi,
mich würde schon mal interessieren wie ich nen linux firewall system auf ne cd bekomme!

MfG marsem

Descartes

Re: optimale Partitionierung für Firewall-Rechner

#8 Post by Descartes »

@Swen
>
> Sag mal Ratte, bist Du sicher, daß /etc also auch / schreibbar sein muß?
>
NEIN die müssen nicht rw sein.

Die einzigen Partitionen die rw sein müssen sind /tmp /var und /home (wenn man mal von Pseudo-Zeugs wie /proc absieht)

>
> An der mtab ändert sich doch nach der Installation nichts mehr, oder?
>
Die /etc/fstab ändert sich nach der Installation nicht mehr. Die /etc/mtab ist allerding die Datei in der dir mount mitprotokolliert welches Dateisystem gerade gemountet ist.

Wenn du die Root Partition ro gemountet hast kann natürlich nix mehr an /etc/mtab geändert werden --> dumm. Also haust du /etc/mtab weg und richtest statt dessen einen SymLink auf /proc/mounts ein:
ln -s /proc/mounts /etc/mtab

Jetzt ist /etc/mtab nur ein SymLink auf /proc/mtab in der sich der Kernel eh die ganzen gemounteten Partitionen merkt. Solange dein /proc Dateisystem gemountet ist und somit auch dein SymLink dereferenziert werden kann ist alles in Butter.

Descartes

Re: optimale Partitionierung für Firewall-Rechner

#9 Post by Descartes »

Ideale Distribution:
Debian

Warum Debian?
* es lassen sich mit "apt-get update && apt-get upgrade && apt-get dist-upgrade" sehr leicht Sicherheitspatches einspielen und es erleichtert dir die Arbeit, die Distribution aktuell zu halten

* Installation lässt sich sehr leicht abspecken; Wer mit apt-get nicht gleich zurecht kommt, sollte sich gleich mal per "apt-get install aptitude" das Programm "aptitude" installieren. Damit ist die Softwareverwaltung so einfach (wenn nicht noch einfacher) wie zu YaST1 Zeiten.

Ansonsten bist du mit OpenBSD auch gut bedient:

HOWTO - DSL Router mit OpenBSD 3.2
<a href="http://www.fmi.uni-passau.de/~grafj/openbsd/" target="_blank"><!--auto-->http://www.fmi.uni-passau.de/~grafj/ope ... <!--auto-->

Ideale Partitionierung: (zumindest aber grob als Anhaltswerte brauchbar)

Für eine Firewall / Router:
/ 60 MB ro
/home 100 MB rw
/tmp 50 MB rw
/var 200 MB rw
/usr 300 MB ro
SWAP 0,5 bis 1x RAM

Für einen kleinen HeimServer:
/ 60 MB ro
/home 100 MB rw
/tmp 50 MB rw
/var 800 MB rw (hier liegen u.a. SQUID-Cache und Firewall-/System-Logs)
/usr 300 MB ro
/server -?- MB ro (hier liegen die Daten deines HTTP-, FTP- oder SAMBA-Server; Speichergrösse abhängig von deinen Anforderungen)
SWAP 2xRAN

Post Reply