LifoLife

La sécurité sur un serveur doit être pensée dès le schéma de partionnement. Bien souvent on résume la sécurité à la mise en place d'un pare-feu, pourtant elle doit se penser bien plus en amont, avant même l'installation du systeme. Un peu à la manière du referencement qui doit se penser avant la création d'un site, après il sera trop tard.

Il est bon par exemple de penser à faire une partition pour les logs /var/log car si les logs venaient à gonfler de maniere excessive, ils pourraient entrainer un disfonctionnement des programmes ayant besoin d'espace disque (apache et /tmp, mysql etc...) et entrainer une indisponibilité de votre site web.

Une autre partition pourra être /var/cache/apt/archives pour conserver les archives des upgrade.

On pourrait choisir de mettre tous les binaires "hors package" dans une partition /usr/local. Ce repertoire est conservé en cas de re-installation et vous pourrez ainsi retrouver facilement tous vos programmes.

Il est judicieux egalement de creer une partition /var/mail ou /var/spool/mail selon votre serveur de mails. En cas de reception d'un nombre important d'emails cela evitera que tout le disque dur sature. ils pourraient entrainer un disfonctionnement des programmes ayant besoin d'espace disque (apache et /tmp, mysql etc...) et entrainer une indisponibilité de votre site web.

Créer seulement une partition generale /var pourrait poser des problemes car on retrouve dedans le repertoire /var/run necessaire à certains programmes pour fonctionner correctement. Si les mails ou les logs venaient à remplir /var, ces programmes ne fonctionneraient plus.

Pour les partitions pour lesquelles vous ne pouvez pas être certain de la place nécessaire, ins-
tallez Logical Volume Manager (lvm-common et les binaires nécessaires pour votre noyau qui
peuvent être soit lvm10, soit lvm6 ou encore lvm5). En utilisant lvm, vous pouvez créer des
groupes de volumes répartis sur plusieurs volumes physiques.

Pour installer lvm
apt-get install lvm2

Pour en savoir plus sur l'utilisation de lvm
http://www.wearegeeks.info/Utilisation-de-LVM

Quelques commandes pratiques

cfdisk (ou fdisk -l) vous indiquera le type de fichier.

Il est plus judicieux d'utiliser un systeme de fichiers du type ext3 qui est plus à même de gerer une coupure inopinée (reboot hard, coupure electrique) sans corrompre ou perdre trop de données.

Pour obtenir des infos sur le filesystem de votre partition (dans notre cas /dev/hda1)
tune2fs -l /dev/hda1

Pour modifier l'intervalle de fsck à 1 semaine:
tune2fs -i 1w /dev/hda1

Ainsi à chaque reboot si le dernier fsck (file system check) date de plus d'une semaine, la verification s'effectuera. Attention dans le cas de grosses partitions le fsck peut durer assez longtemps. Dans le cadre d'un serveur en production, il vaudra mieux lui faire faire un reboot automatique 1 fois par semaine vers 3H du matin afin de faire cette verification sans generer une indisponibilité importante du site web.