Securizar el sistema de ficheros

En los sistemas Linux, podemos hacer corresponder una partición, sobre la que se define un sistema de ficheros a un directorio mediante el punto de montaje.
Realizar una instalación estandar, dos particiones, una para el sistema de ficheros y otra para la swap, presenta algunas limitaciones desde el punto de vista de la seguridad.
La organización de ficheros en la jerarquía de ficheros en sistemas tipo UNIX, sigue una idea fundamental: Cada directorio agrupa ficheros de un mismo tipo. Ésto nos puede ayudar a aplicar algunas configuraciones que ayuden a securizar nuestro sistema.
Veamos algunos directorios del sistema con cierta particularidad:

/tmp:

Directorio temporal, cualquier usuario del sistema puede leer y escribir datos en él. No suele contener ejecutables. !!Vaya!!, un intruso puede usar este directorio para descargar y ejecutar utilidades que le ayuden a conseguir su objetivo.

Securizar /tmp:

1. Como norma general realizar una asignación de espacio en disco en base a un estudio del uso de cada uno de los directorios del sistema. No dar más espacio del necesario, seguir el principio de mínimo privilegio.
2. Montar /tmp con las opciones nosuid,noexec,nodev: Ejemplo #mount -o nosuid,noexec,nodev /tmp. Limitamos la ejecución (noexec), la ejecución de ficheros suid (nosuid) y no permitimos la creación de ficheros de dispositivos.
   

/usr:

Contiene binarios ejecutables de aplicación y bibliotecas que no son modificados una vez completada la instalación (Excepto durante actualizaciones).

securizar /usr:

1. Podemos hacer inmutables los archivos, o algunos de ellos, en este directorio, recordar que no es posible actualizar el sistema sin deshacer esta capacidad. Ejemplo: chattr +i fichero.

/home:

Contiene los ficheros de datos y ejecutables de los usuarios.

/var:

Contiene los ficheros de log entre otras cosas.