[linux-l] Brauche Hilfe
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Sa Mai 8 04:17:11 CEST 2004
On Fri, 7 May 2004, Baerwaldt, Ralf wrote:
> > Ich sehe einen Sinn in der Verschluesselung in der Regel nur
> > bei /var und
> > /home.
>
> Bei einem Profigeraet ist das etwas wenig. Da sollten wenigstens
> noch /tmp, /usr/tmp, /var/tmp, /ramdisk, /etc, /root, /opt,
> /usr/local, swapfile und ggf. /mail, /applications,
> /intra-news, /intranet, /database verschluesselt werden.
Vielleicht sollte ich dies hinzufuegen:
Die Haelfte davon ist bei Serversetups bei mir ein Link (tmps nach
/var/tmp, /root nach /home/root, bzw. existiert nicht (/mail, /* oder
Swapfile.
Ich richte meine Server so ein, dass / alles "Lebensnotwendige"
(read-only gemountet), /usr Programme etc. (read-only), /home Nutzerdaten
und /var Spools, Logs, PID-Files etc. (noexec) hat.
Ein solches Layout hat den Vorteil, dass Systemabsicherung, Ueberwachung
und Backup wesentlich einfacher sind als ein "Verstreuen". (Wie Du siehst,
bin ich auch bei dem FS-Verschluesselungsproblem im Vorteil, ohne je daran
gedacht zu haben :-)
Natuerlich dokumentiert inklusive Skipts, um es einrichten bzw.
rueckgaengig zu machen (rmdir, mv, ln usw.)
Und wer sich an den Symlinks nicht stoert, sieht auch das Originallayout
des Systems.
Wie schon bemerkt, ist die Verschluesselung im laufenden Betrieb
transparent, weshalb ein Verschluesseln von Puffern nichts bringt.
Gruss
Peter
Mehr Informationen über die Mailingliste linux-l