ชื่อเรื่องคือคำขอของฉัน ฉันอ่านมาหลายชั่วโมงแล้วและพบบทเรียนสำหรับการย้าย /home ไปยังพาร์ติชันและ /tmp ไปยังพาร์ติชัน แต่ไม่มีสำหรับการแปลงไดเร็กทอรีที่แนะนำทั้งหมดเป็นพาร์ติชันสำหรับเซิร์ฟเวอร์ Ubuntu บทช่วยสอนหนึ่งใกล้เข้ามาแล้ว แต่ไม่สนใจขั้นตอนที่จำเป็นอย่างชัดเจนในการคัดลอกข้อมูลจากไดเร็กทอรีก่อนหน้าไปยังพาร์ติชันใหม่
อย่างไรก็ตาม หลังจากผ่านไปหลายชั่วโมง ฉันก็ยังไม่พบบทช่วยสอนที่ครอบคลุมสถานการณ์ทั่วไปของฉัน
สถานการณ์:
ฉันติดตั้ง Ubuntu Server บนเซิร์ฟเวอร์ Prod & Test (vps & virtualbox ตามลำดับ) ทำงานบางอย่างได้ ในขณะที่อ่านบทช่วยสอนการทำให้เซิร์ฟเวอร์แข็งตัว ฉันตระหนักว่าวิธีปฏิบัติที่ดีที่สุดคือมี /boot /home /swapfile /tmp /usr และ var... /opt? ทั้งหมดบนพาร์ติชันที่แยกจากกันเพื่อการจัดการทรัพยากรและเหตุผลด้านความปลอดภัย
วิธีที่ถูกต้องในการสร้างพาร์ติชันที่กล่าวถึงข้างต้นคือการใช้ LVM
อย่างไรก็ตาม บทช่วยสอนไม่ได้พูดถึง / แนะนำขนาดพาร์ติชัน (ตามสัดส่วน เนื่องจากระบบที่แตกต่างกันอย่างเห็นได้ชัดมีพื้นที่ดิสก์ที่แตกต่างกัน ของฉันคือ 80GB บน / )
นอกจากนี้ บทช่วยสอนบางส่วนกล่าวถึงการเปลี่ยนแปลงที่จำเป็น /etc/fstab และบางคนก็ไม่
เป้าหมายของฉันคือการแปลงการตั้งค่าพาร์ติชันเดียวขนาด 80GB ของฉันเป็นหลายพาร์ติชัน จากนั้นรักษาความปลอดภัยพาร์ติชันจากการโจมตีและการแสวงหาประโยชน์ทั่วไปโดยใช้: การรวมกันของ nodev,noexec,nosuid ใน /etc/fstab
ฉันสามารถใช้เวลาหลายวันในการทดสอบและล้มเหลวในการกำหนดค่าต่างๆ ใน virtualbox... หรือบางอันที่หล่อและ/หรือสวยงาม "กูรูการแบ่งพาร์ติชันเซิร์ฟเวอร์ Ubuntu" สามารถเผยแพร่ที่ติดตามได้ง่าย (กลุ่มเป้าหมายที่เป็นผู้ใช้ระดับกลาง) คู่มือขั้นสุดท้าย ดังที่ฉันได้อธิบายไว้ข้างต้นและกลายเป็นผู้มีชื่อเสียงทางอินเทอร์เน็ตเนื่องจากผู้ใช้จำนวนมากที่โฮสต์โครงการของตนเองบน vps จะรักและชื่นชอบคุณตลอดไป :-)
อัปเดต
เดิมทีฉันไม่ได้เผยแพร่คู่มือการชุบเซิร์ฟเวอร์หลักเพราะฉันไม่ต้องการให้โพสต์นี้กลายเป็น "การถกเถียง" เกี่ยวกับผลงานที่ละเอียดถี่ถ้วนของผู้ชายคนนี้ อย่างไรก็ตาม เมื่อมองย้อนกลับไป ฉันคิดว่ามันจะเป็นประโยชน์สำหรับผู้ที่ต้องการตอบโพสต์นี้ เพื่อดูประโยชน์ด้านความปลอดภัยที่แท้จริงที่ฉันพยายามจะบรรลุ
ฉันคิดว่าโดยปกติแล้วการแยกสิ่งต่างๆ ออกเป็นระบบไฟล์ต่างๆ ไม่ได้ช่วย/ปรับปรุงความปลอดภัย หากมีผู้บุกรุกเข้าไปในระบบในขณะที่ระบบกำลังทำงาน อย่างไรก็ตาม ทุกอย่างจะถูกเมาท์ และไม่มีความแตกต่างทางตรรกะที่จะมีทุกอย่างในระบบไฟล์เดียว เนื้อหาที่คุณศึกษาให้เหตุผลอะไรบ้าง?
ที่กล่าวว่ามัน สามารถ ช่วยประสิทธิภาพ (ระบบไฟล์ที่แตกต่างกันหรือฮาร์ดแวร์ที่แตกต่างกันภายใต้จุดต่อเชื่อมเหล่านี้) และลดระยะเวลาในการกู้คืนระบบ (เช่นถ้าเฉพาะ SSD ที่ถือ /var ขึ้นเป็นควัน คุณจะต้องคืนค่าข้อมูลสำรองนั้นและส่วนที่เหลือยังคงทำงานอยู่)
คุณกำลังถามเกี่ยวกับขนาดพาร์ติชันที่แนะนำ:
/ คุณทำได้ดีกับ 15-20 GB ฉันไม่ต้องการเซิร์ฟเวอร์มากกว่านี้ (ใช้เว็บเซิร์ฟเวอร์ + เซิร์ฟเวอร์อีเมล)แลกเปลี่ยน ฉันมักจะใส่ไดรฟ์ข้อมูล / พาร์ติชันของตัวเองซึ่งมีขนาดเท่ากับ RAM - เพื่อให้ระบบ Suspend-to-Disk สามารถทำงานได้ ผู้คนเคยแนะนำขนาด 2xRAM แต่ด้วยขนาด RAM ในปัจจุบัน เมื่อคุณพบสถานการณ์ที่คุณจำเป็นต้องสลับจำนวนมาก คุณก็ประสบปัญหาอยู่ดี คุณจะสังเกตเห็นได้จากการชะลอตัวลงอย่างมาก จากนั้นคุณควรเพิ่ม RAM ที่มีอยู่อย่างรวดเร็ว/บูต ต้องการเพียง 500 MB ซึ่งให้พื้นที่สำหรับ 8+ kernel+initrd เวอร์ชัน ตรวจสอบให้แน่ใจว่าได้เรียกใช้ ฉลาดลบอัตโนมัติ บ่อยครั้งเพื่อให้มันถูกตัดแต่งหลังจากการอัพเกรดเคอร์เนล/usr และ /เลือก เป็นไดเร็กทอรีบน /เพียงแค่ไม่เห็นประโยชน์ในการย้ายไปยังระบบไฟล์ของตนเอง/tmp ฟังดูเข้าท่า เพราะจะทำให้ไดเร็กทอรีที่เขียนได้ทั่วโลกถูกจำกัดมากขึ้น ทั้งในเรื่องพื้นที่ว่างที่ใช้ได้ทั้งหมด และสิ่งที่สามารถทำได้กับไฟล์ที่เก็บอยู่ในนั้น คำแนะนำแนะนำให้ใช้ตัวเลือก nodev, nosuid และ noexec เมื่อติดตั้งระบบไฟล์ คำแนะนำให้เฉพาะคำสั่งเมานต์สำหรับ "ใช้ครั้งเดียว" การแปลสิ่งนี้เป็นบรรทัดใน /etc/fstab หมายความว่าคุณวาง โนเดฟ,โนซูอิด,โนเอ็กเซก ลงในคอลัมน์ที่ 4 (ตัวเลือก) ของบรรทัดที่คุณต่อเชื่อมวอลุ่ม /tmp เฉพาะลงไป /tmp./บ้าน และ /var - นั่นมักจะเป็นสิ่งที่ "สำคัญ" บนเซิร์ฟเวอร์ของฉัน /บ้าน ค่อนข้างว่างเปล่า แต่ /var เก็บ public_html บันทึก ฐานข้อมูล ฯลฯ ดังนั้นฉันจึงเก็บไว้ /บ้าน เป็นไดเร็กทอรีบน /, แต่ /var มีวอลุ่มเป็นของตัวเองอย่างแน่นอน และได้รับการสำรองข้อมูลบ่อยที่สุด ให้พื้นที่ที่เหลือทั้งหมดหลังจากทำเสร็จแล้วจากนั้นคุณถามถึงวิธีการเปลี่ยน:
/แนบดิสก์ใหม่ (ไฟล์ VDI, ...) เตรียมด้วย pvcreate, lvcreate และระบบไฟล์ที่คุณเลือก (เช่น mkfs.ext4)rsync -xaP <แหล่งที่มา>/ <ปลายทาง>/ สำหรับแต่ละระบบไฟล์ของคุณ ตัวเลือก '-x' จะป้องกันไม่ให้ rsync ข้ามขอบเขตของระบบไฟล์ เช่น ถ้าคุณทำเช่นนั้น rsync -xaP / /mnt/newroot/ มันจะไม่คัดลอก /var, /home หรือแม้แต่ระบบไฟล์ใหม่ทั้งหมดที่ติดตั้งภายใต้ /mnt '-a' จะทำให้แน่ใจว่าสิทธิ์ ฯลฯ จะถูกยึดโดยไม่มีการแก้ไข และ '-P' จะแสดงความคืบหน้า สำหรับรายละเอียดโปรดดูที่ ผู้ชาย rsync.เสร็จแล้วก็แก้ไข /mnt/newroot/etc/fstab และตรวจสอบให้แน่ใจว่าคุณแสดงรายการระบบไฟล์ทั้งหมดที่จุดต่อเชื่อมที่เหมาะสม หากคุณมาถึงขั้นนั้นแล้ว สิ่งนี้ก็ไม่น่าจะยากเกินไป (เนื่องจากคุณเลือก /dev/mapper/... ชื่อ ระบบไฟล์ ฯลฯ ทั้งหมด)
คุณจะต้องใช้ grub-install และบางที update-grub เพื่อทำให้ดิสก์ใหม่สามารถบู๊ตได้ แต่ฉันไม่แน่ใจเกี่ยวกับขั้นตอนที่แน่นอน ด้วย VMs คุณสามารถลองใช้งานได้อย่างง่ายดาย และหากไม่สามารถบู๊ตได้ ให้แนบดิสก์เก่าอีกครั้งและแก้ไข
สำหรับการอ้างอิง นี่คือเซสชันเชลล์ที่ให้คำสั่งเฉพาะบางอย่างแก่คุณเกี่ยวกับการแบ่งพาร์ติชัน + LVM + การจัดรูปแบบ + การอ้างอิงในหัวข้อ fstab โปรดทราบว่าคุณมักจะต้องแก้ไข เช่น หากอุปกรณ์ของคุณไม่ใช่ /dev/sda ถ้าคุณต้องการระบบไฟล์อื่น เป็นต้น - นี่เป็นเพียงตัวอย่างเท่านั้น
# หลังจากใช้ fdisk เพื่อสร้างพาร์ติชันเดียวที่ครอบคลุมอุปกรณ์ทั้งหมด
#ดูเหมือนว่า:
root@ubuntu:~# fdisk -l /dev/sda
ดิสก์ /dev/sda: 100 GiB, 107374182400 ไบต์, 209715200 ภาค
ดิสก์รุ่น: VBOX HARDDISK
หน่วย: ภาค 1 * 512 = 512 ไบต์
ขนาดเซกเตอร์ (โลจิคัล/กายภาพ): 512 ไบต์ / 512 ไบต์
ขนาด I/O (ต่ำสุด/เหมาะสม): 512 ไบต์ / 512 ไบต์
ประเภทป้ายชื่อดิสก์: gpt
ตัวระบุดิสก์: 18ACB4C9-3F33-7041-8BEB-D819F138A809
ประเภทขนาดเซกเตอร์สิ้นสุดการเริ่มต้นของอุปกรณ์
/dev/sda1 2048 209715166 209713119 100G Linux LVM
# สร้างฟิสิคัลวอลุ่มสำหรับ LVM
root@ubuntu:~# pvcreate /dev/sda1
สร้างฟิสิคัลวอลุ่ม "/dev/sda1" สำเร็จแล้ว
# สร้างกลุ่มวอลุ่มด้วยชื่อ "vg1" สำหรับ LVM ที่จะ
# เก็บโลจิคัลวอลุ่มทั้งหมดของเรา
root@ubuntu:~# vgcreate vg1 /dev/sda1
สร้างกลุ่มวอลุ่ม "vg1" สำเร็จแล้ว
# สร้างโลจิคัลวอลุ่มตามที่อธิบายไว้ข้างต้น
root@ubuntu:~# lvcreate --name root --ขนาด 20G vg1
สร้างโลจิคัลวอลุ่ม "รูท" แล้ว
root@ubuntu:~# lvcreate --name swap --size 8G vg1
สร้าง "swap" โลจิคัลวอลุ่มแล้ว
root@ubuntu:~# lvcreate --ชื่อ boot --ขนาด 500M vg1
สร้างโลจิคัลวอลุ่ม "บูต" แล้ว
root@ubuntu:~# lvcreate --ชื่อ tmp --ขนาด 5G vg1
สร้างโลจิคัลวอลุ่ม "tmp" แล้ว
# ดูโลจิคัลวอลุ่ม
root@ubuntu:~# เลเวล
LV VG Attr LSize Pool Origin Data% Meta% Move Log Cpy%Sync Convert
boot vg1 -wi-a----- 500.00m
รูท vg1 -wi-a----- 20.00g
swap vg1 -wi-a----- 8.00g
tmp vg1 -wi-a----- 5.00g
# ดูที่กลุ่มวอลุ่มและดูว่ามีพื้นที่ว่างเหลืออยู่เท่าใด
root@ubuntu:~# vgs
VG #PV #LV #SN Attr VSขนาด VFree
vg1 1 4 0 wz--n- <100.00g <66.51g
# ใช้พื้นที่ที่เหลือสำหรับโลจิคัลวอลุ่มสุดท้าย var
root@ubuntu:~# lvcreate --name var --size 66.5G vg1
สร้างโลจิคัลวอลุ่ม "var" แล้ว
#มาดูปริมาณกัน
root@ubuntu:~# เลเวล
LV VG Attr LSize Pool Origin Data% Meta% Move Log Cpy%Sync Convert
boot vg1 -wi-a----- 500.00m
รูท vg1 -wi-a----- 20.00g
swap vg1 -wi-a----- 8.00g
tmp vg1 -wi-a----- 5.00g
var vg1 -wi-a----- 66.50g
# จัดรูปแบบไดรฟ์ข้อมูลทั้งหมดด้วยระบบไฟล์ ext4
สำหรับฉันใน /dev/mapper/vg1-*; ทำ mkfs.ext4 $i; เสร็จแล้ว
# เปลี่ยน vg1-swap ให้เป็นพื้นที่สว็อป
mkswap /dev/mapper/vg1-swap.mkswap
# สร้างรายการ fstab ที่มีลักษณะเช่นนี้
/dev/mapper/vg1-root / ext4 ค่าเริ่มต้น 0 1
/dev/mapper/vg1-boot /boot ext4 ค่าเริ่มต้น 0 2
/dev/mapper/vg1-var /var ext4 ค่าเริ่มต้น 0 2
/dev/mapper/vg1-tmp /tmp ext4 nosuid,nodev,noexec 0 0
/dev/mapper/vg1-swap ไม่มีการแลกเปลี่ยน sw 0 0
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
