nodev내 목표는 nosuid및 마운트 옵션을 통해 Linux 서버의 보안을 향상시키는 것 입니다 noexec. 내 파일을 보여주는 첨부된 이미지를 찾으세요 fstab.
내 질문은 /bootUUID 줄에 쓰는 것에 관한 것입니다. /tmp설정 nodev및 옵션 nosuid인 것 같지만 noexec. /boot혼란 스럽다면 /tmp무엇을 더 변경해야 합니까? /boot로 바꿀 수 있나요 /tmp? 이것이 어떤 영향을 미칠까요?
답변1
/boot파일 시스템을 다음 재부팅 후 /tmpin 으로 변경 하면 /etc/fstab커널 및 initramfs 파일이 그 안에 있게 되며, 시스템에 /tmp부팅 시 또는 주기적으로 정리하는 자동 프로세스가 있는 경우 삭제될 수 있습니다. /tmp그런 다음 정리 프로세스가 /boot-as-/tmp 파일 시스템에서 커널 및 initramfs 파일을 제거하면 시스템이 다시 부팅되지 않습니다.
/boot현재 파일 시스템의 크기를 적절하게 조정하려면 /tmp먼저 다음을 수행해야 합니다.
- 부트로더 버전이 LVM 논리 볼륨에서 커널 및 initramfs 파일을 읽을 수 있는지 확인하세요.
- 파일 시스템을
/boot임시 위치(예: )에 마운트한/mnt다음 커널 및 initramfs 파일을/mnt(이전에는/boot) 새/boot디렉터리로 복사하거나 이동합니다. 이 디렉터리는 이제 루트 파일 시스템의 일반 디렉터리입니다. - 부트로더를 다시 설치하고 실제로 이전의 별도 파일 시스템이 아닌 LVM 기반 루트 파일 시스템에서 커널 및 initramfs 파일을 읽도록 구성되었는지 확인하세요.
/boot /boot이전 파일 시스템을 실제로 재사용하기 전에 시스템을 한 번 부팅하여 실수가 없는지 확인하십시오./tmp
이 모든 작업은 세심한 작업이 필요하며, 잘못되면 시스템이 부팅되지 않을 수 있습니다.다른 선택의 여지가 없는 /boot한 다른 용도로 사용하지 않는 것이 좋습니다 ./tmp
대신 별도의 파일 시스템을 원할 경우 /tmpRAM 기반 파일 시스템을 사용할 수 있습니다 tmpfs. 기본적으로 다음과 같은 새 줄을 추가하면 됩니다 /etc/fstab.
tmpfs /tmp tmpfs defaults,nodev,nosuid,noexec 0 0
/tmp시스템을 다시 시작하면 이제 보안 옵션이 적용된 RAM 기반 파일 시스템을 갖게 됩니다 .
또는 재부팅 후에도 내용을 유지하는 볼륨을 원 /tmp하고 볼륨 그룹에 할당되지 않은 공간이 있는 vg_smpp경우 /tmp.
- 먼저 이 명령을 사용하여 볼륨 그룹에 목적에 맞는 할당되지 않은 공간이 충분한지
vgs확인합니다 . 이 열이 0이 아닌 경우 볼륨 그룹에 할당되지 않은 여유 공간이 있는 것입니다.vg_smppVFree - 할당되지 않은 공간이 있는 경우 이를 사용하여
lvcreate -L <desired size> -n lv_tmp vg_smpp새 논리 볼륨을 생성 할 수 있습니다/dev/mapper/vg_smpp-lv_tmp.<desired size>새 파일 시스템에 필요한 크기로 교체하면 됩니다/tmp. - 논리 볼륨을 생성한 후 해당 볼륨에 파일 시스템을 생성해야 합니다
mkfs.ext4 /dev/mapper/vg_smpp-lv_tmp. /etc/fstab그런 다음 여기에 한 줄을 추가할 수 있습니다./dev/mapper/vg_smpp-lv_tmp /tmp ext4 기본값, nodev, nosuid, noexec 1 2
/tmp이제 기존 디렉토리 위에 설치할 수 있습니다:mount /tmp. 그 다음 단계는 새로 마운트된 /tmp 파일 시스템에 대한 적절한 권한을 설정하는 것입니다:chmod 1777 /tmp, 또는drwxrwxrwt. 즉, 누구나/tmp파일 시스템을 사용할 수 있으며 파일 또는 하위 디렉터리의 소유자만 삭제할 수 있다는 추가 제한이 있습니다. 이는 디렉토리에 대한 표준이자 예상되는 권한 세트입니다/tmp.활성 임시 파일이 있는 기존 프로그램은 이번 교체로 인해 약간 혼란스러울 수 있으므로 이 시점에서 다시 시작하는 것이 가장 좋습니다.