Ich habe in der fstab relatime und lazytime gesetzt, allerdings weiß ich nicht, ob defaults wirklich benötigt wird.
Defaults wird nur benötigt, wenn du sonst keinerlei Optionen gesetzt hast und die Spalte ansonsten leer wäre. In deinem Fall also nein. Die meisten der Optionen in deiner fstab sind aber redundant.
Code:
dev/mapper/VG-root / ext4 lazytime 0 1
dev/mapper/VG-home /home ext4 lazytime 0 2
dev/sda1 /boot vfat lazytime,fmask=0022,dmask=0022 0 2
dev/mapper/VG-swap none swap defaults 0 0
"lazytime" macht bei Swap keinen Sinn, da der Swap keine Zeitstempel hat. Die fmask von /boot könntest du noch auf 0133 stellen, damit die Dateien auf der Partition nicht ausführbar sind, das braucht nämlich keine Datei auf der Partition. Ansonsten sind viele Optionen sowieso default und können weggelassen werden.
Wäre so eine Konfiguration für SSDs ok?
Da gibt es heutzutage nichts mehr zu tun. Auch bspw. die "ssd"-Option bei Btrfs wird inzwischen eh autodetected. Die Default-Options passen in 99% der Fälle perfekt.
Weiß also nicht, ob MAC für Standalone-Rechner wirklich Sinn macht. Dann gibts noch linux-hardened Kernel, welches im Gegensatz zum normalen Kernel mehr Quality Bits bietet.
Ich glaube du machst dir für einen stinknormalen Heimrechner zu viele Gedanken. SELinux und andere MACs machen nur im Serverumfeld wirklich Sinn. Der Nutzen einer MAC ist es einzelne Prozesse oder Ordner weiter zu isolieren als es die normalen Unix-Permissions es zulassen. Beispielsweise dass der Webserver ausschließlich Dateien innerhalb "/srv" und seine eigenen Binarys und Libraries lesen kann oder dass ein einzelner Nutzer nicht in "/srv" schauen darf. Für Desktops ist das absolut Overkill und wird dir entweder (A) nichts bringen, weil die Regeln viel zu lasch sind, oder (B) dich in den Monitor schlagen lässt, weil irgendwas bei aktiviertem SELinux wieder nicht geht, du aber nicht herausfindest wieso oder es dir aufn Sack geht regelmäßig wieder SELinux zu konfigurieren. Richte dir ne Firewall ein, damit du nicht versehentlich irgendwelche Dienste von außen erreichbar machst, und dann bist du schon auf der sicheren Seite.
Einfach nur "VG" ist übrigens ein gefährlicher Name für eine VG. Wenn du mal eine Festplatte ansteckst, deren VG ebenfalls "VG" heißt, dann hast du richtig Spaß! Idealerweise heißt die VG...
Code:
"$(hostname -s)"-"$(cat /etc/machine-id)"
...also zum Beispiel "localhost-563d4bafff33439cac6eee8bc7ed50de". Dann bist du 100% auf der sicheren Seite.
Zuletzt bearbeitet: