noexec

Фактически является бессмысленным, если мне не изменяет память.

Я говорю про noexec только для тех разделов на которых отсутствуют исполняемые файлы, чтобы вредоносный код попавший туда не мог исполниться. Почему бессмысленно?

Потому что даже на таких разделах можно запустить программу. На Linux через % /lib/ld-linux.so.2 program. И я более чем уверен, что во FreeBSD это работает примерно так же.

Со скриптами и вовсе вопросов нет, запустить можно откуда угодно.

Поэтому делай noexec, не делай — толку не будет в любом случае.

А чего там разбираться то. Выбираешь меню ZFS и все, там создаются отдельные ФС с теми самыми опциями.

Я за хардкорный уровень безопасности

А полнодисковое шифрование в списках требований не указал. Непорядок.

ФС желательна более безопасная и отказоустойчивая.

Был бы большой выбор. ZFS и UFS2.

Вообще говоря, по тебе и твоему ОП видно, что ты сам не знаешь, что тебе нужно. Мой совет: не занимайся фигней и сделай все как при обычной установке системы.

Да вроде бы и обычным sh program можно запустить

Я сомневаюсь что шифровать десятитерабайтник - хорошая идея.

а насчёт ФС читал что возможно ставить неродные фс, в т.ч. extfs.

не знаешь, что тебе нужно

Серьёзный уровень безопасности

Был тут один регистрант с кашей в голове и «безопасностью» через слова в каждом посте. Не ты ли это был?

нет, я новичок на лоре

На Linux через % /lib/ld-linux.so.2 program. И я более чем уверен, что во FreeBSD это работает примерно так же.

Неа.

% mount|grep /tmp
tmpfs on /tmp (tmpfs, local, noexec, nosuid)
% /libexec/ld-elf.so.1 /tmp/test        
/tmp/test: mmap of data failed: Permission denied

Со скриптами и вовсе вопросов нет, запустить можно откуда угодно.

Это да.

Спасибо! Но есть вопросы: я так понял, вы на каждом диске создаёте загрузочный раздел. Для чего это? Насколько я знаю, достаточно одного загрузочного раздела на одном жёстком диске.

я не знаю с какого диска будешь грузиться.
стоит добавить, что во-первых в /boot/loader.conf надо перед перезагрузкой

kern.geom.label.disk_ident.enable="0"
kern.geom.label.gptid.enable="0"
zfs_load="YES"
vfs.root.mountfrom="zfs:rpool"

Насколько я понимаю, это уже после установки ОС я буду должен пересобрать ядро с добавлением MAC, а уже после - настраивать политика доступа MAC. Сейчас на этапе установки это не имеет значения. Правильно? А также, правильно ли я понял, что в вашем примере суммарное пространство всех трёх жёстких дисков воспринимаются системой как одно целое(пул) и всё располагается в одном разделе?

на оба вопроса «да»

Мне известно, что имеет смысл разные ФС размещать на разных жёстких дисках, например отдельный диск для логов. Хотелось бы знать, насколько это полезно. У меня была мысль систему становить на маленький диск, а большой использовать для данных. Так ведь лучше чем один пул?

Серьёзный уровень безопасности

Если на сервере не планируется активная работа с файлами(роутер, к примеру), есть смысл посмотреть на securelevel.

имеет смысл разные ФС размещать на разных жёстких дисках

zfs размазывает нагрузку на дисках, в этом нет никакого смысла.
смысл создавать сложные конфигурации на домашних компах есть только, если большая вероятность выхода дисков из строя.
например прикинуть, что в среднем диски живут лет шесть в обычных компах — не вижу смысла заморачиваться. все данные устареют и по сто раз забекапятся за это время.
разве, что SSD для L2ARC воткнуть. по поводу ФС на разных дисках — что будет, если ты решишь собирать логи, создашь UFS на диске 0.5Т и он кончиться? гемору больше чем профита.
но это моё личное пофигистское отношение к данным, кто-то придумывает рэйды для домашнего компа, я считаю это бредом. только бекап и иметь те данные, которые не жалко, даже если сгорят все компы в квартире.

А что насчёт создания нескольких разделов отдельно для usr, home, opt, var и т.п. с разными параметрами?

а что с ними? если говорим о zfs, то создавая пул с -O compress=lz4 -O atime=off в моём примере, эти параметры наследуются дальше для «разделов» и отдельно переопределяются как в случае с var: zfs create -o atime=on rpool/var
параметров там не так много, кроме exec, setuid и atime играть больше нечем.
atime вообще стоило бы отключить, если бы не инженеры дауны из 80-х которые решили это в почтовиках использовать.

Так есть ли смысл раскладывать директории по разным разделам? Если noexec и atime не нужны, то остаётся только setuid и ro (readonly)

для меня есть, например, снапшоты.

Так как всё таки лучше разметить диски? На какие разделы разбивать и с какими параметрами?

не понимаю, почему тебе всё ещё интересно «как разметить», если даже скрипт тебе запилил
если тебе не нужны снапшоты, если тебе не нужно маунтить всякие /ports/distfiles в jail, и тебе не понятно как можно разбить диск после примера — лучший вариант сделать один корень и всё.

Для решения поставленных мною задач решил использовать freebsd

Плохая идея. Какие бы там ни были задачи.

Я планирую по возможности каждое приложение зафигачить в джейлы.

лучший вариант сделать один корень и всё.

Но ведь я тогда не смогу создать readonly и nosuid разделы.

Почему вы так считаете?

Я сомневаюсь что шифровать десятитерабайтник - хорошая идея.
Серьёзный уровень безопасности

Тебе — точно не нужен.

а насчёт ФС читал что возможно ставить неродные фс, в т.ч. extfs.

И на кой ляд это может понадобиться?

ТСу

кто лучше тебя самого может знать что ты хочешь от своего компа? Разбей диски как хочешь.

Возьми готовое

https://www.bsdstore.ru/ru/about.html

1. молча

2. с чувством собственного достоинства

3. не сомневаясь, давая понять системе, кто тут главный

4. с упорством, достойным лучшего применения