Параметры монтирования для повышения безопасности

Если вы измените файловую систему /bootна /tmpв /etc/fstab, то после следующей перезагрузки ваши файлы ядра и initramfs будут в /tmpи могут быть удалены, если в вашей системе есть автоматический процесс очистки up/tmpлибо при загрузке, либо периодически через какие-то промежутки времени. Затем, как только процесс очистки удалит ваше ядро ​​и файлы initramfs из файловой системы /boot -как -/tmp, ваша система снова не сможет загрузиться.

Чтобы правильно преобразовать вашу текущую /bootфайловую систему в /tmp, вам нужно сначала сделать несколько вещей:

• убедитесь, что ваша версия загрузчика способна читать файлы ядра и initramfs с логического тома LVM
• смонтировать файловую систему /bootво временное место, например /mnt, затем скопировать или переместить файлы ядра и initramfs из /mnt(, которые раньше были /boot), в новый каталог /boot, который теперь будет просто обычный каталог в корневой файловой системе
• переустановите загрузчик и убедитесь, что он действительно настроен на чтение файлов ядра и initramfs из вашей корневой файловой системы на основе LVM -вместо отдельной файловой системы,/boot
• загрузите систему один раз, чтобы убедиться, что вы не сделали ошибок, прежде чем повторно использовать старую /bootфайловую систему как/tmp

Все это требует большой кропотливой работы с риском того, что ваша система перестанет загружаться, если вы сделаете это неправильно. Я бы посоветовал не использовать /bootкак /tmp, если у вас нет альтернативы.

Вместо этого, если вам нужна отдельная /tmpфайловая система, вы можете использовать для этой цели ОЗУ -на базе tmpfs. По сути, просто добавьте новую строку, подобную этой, в ваш/etc/fstab:

tmpfs  /tmp tmpfs defaults,nodev,nosuid,noexec 0 0

И после перезагрузки системы у вас теперь должна быть файловая система /tmpна основе оперативной памяти -с действующими параметрами безопасности.

Или, наоборот, если вам нужен /tmp, который может сохранять свое содержимое после перезагрузки, и у вас есть нераспределенное пространство в вашей группе томов vg_smpp, вы можете легко создать новый логический том LVM для /tmp.

• Сначала используйте команду vgs, чтобы узнать, достаточно ли в группе томов vg_smppнераспределенного пространства для ваших целей. :Если столбец VFreeне равен нулю, в группе томов есть нераспределенное пространство.
• Если есть нераспределенное пространство, вы можете использовать lvcreate -L <desired size> -n lv_tmp vg_smppдля создания нового логического тома /dev/mapper/vg_smpp-lv_tmp. Просто замените <desired size>на нужный размер для вашей новой файловой системы /tmp.
• После создания логического тома вам необходимо создать на нем файловую систему:mkfs.ext4 /dev/mapper/vg_smpp-lv_tmp.

• Затем вы можете добавить строку в /etc/fstabдля него:

  /dev/mapper/vg _smpp -lv _tmp /tmp ext4 defaults,nodev,nosuid,noexec 1 2

• Теперь вы можете смонтировать его поверх существующей папки /tmp:mount /tmp. Следующим шагом после этого является установка соответствующих разрешений для только что смонтированной файловой системы -/tmp:chmod 1777 /tmpили drwxrwxrwt. Другими словами, любой может использовать файловую систему /tmp, но существует дополнительное ограничение: удалить ее может только владелец файла или подкаталога -. Это стандартный и ожидаемый набор разрешений для каталога /tmp.

• Любые существующие программы с активными временными файлами могут немного запутаться в этой замене, поэтому на этом этапе было бы неплохо перезагрузить компьютер.