Bây giò chúng ta sẽ tập trung vào việc phân vùng bảo
    mật  thông  qua  các  tuỳ  chọn  lắp  ghép,  một  vấn  đề  quan
    trọng  cần  chú  ý  khi  xử  lý  bảo  mật  hệ  thông.  Việc  phân
    vùng  sẽ  có  tác  động  mạnh  nếu  được  dùng  thích  hỢp.  Khi
    giải  thích  cách  thức  phân  vùng  hệ  thống  chúng  tôi  đã
    nhấn mạnh ưu điểm của Linux trong việc cung cấp các thư
    mục  “/home”,  “/tmp”,  “/var”  cho các  phân  vùng riêng.  Các
    thư mục  này  đê  cập  đến cách  dùng các  tuỳ chọn  đặc  biệt
    khi ghép các phần vùng vào hệ thống íĩle.
        Nhiều  tuỳ  chọn  lắp  ghép  là  kiểu  hệ  thống  file  phụ
    thuộc.  Nhưng  những  tuỳ  chọn  chúng  ta  xét  đến  không
    phải loại này. Chúng ta có một số tuỳ chọn sau:
        Nodev: Một hệ thống íĩle lắp ghép vói tuỳ chọn nodev
    sẽ  không  cho  phép  sử  dụng  hay  tạo  các  file  “device”  đặc
   biệt.  Chang có lý do tốt đẹp nào khi cho phép hệ thông file
   biên  dịch các ổ đặc biệt block,  character vì như thế tức là
    cho phép chúng tạo ra các nguy hiểm bảo mật tiềm ẩn.

        Nosuid: Các file trong Unix nói chung và trong Linux
   nói  riêng  đều  có  thể  được  đánh  dấu  bằng cò  để cho  phép
    một người nào đó thực thi íìle bằng quyền của người khác
   hay  nhóm  khác,  thông  thường  là  của  người  quản  trị  hệ
   thống.  Cò  này  được  gọi  là  setuid  (suid)  hay  cờ  nhị  phân
    setgid  bit.  Nó  cũng  cho  phép  thực  thi  file  bên  ngoài  thư
    mục chứa các mã nhị phân hệ thống không cần thiết, làm
    giảm độ an toàn. Nếu một người dùng được quyền sử dụng
   thì  anh  ta  có  thể tạo hoặc  lấy  một cò  nhị  phân  suid  theo
   cách chọn riêng.  Sau đó có thể sử dụng hệ thống một cách
   hiệu quả.
        Noexec:  nếu  một  hệ  thống  file  được  đánh  dấu  cò  là
    noexec, người dùng sẽ không thể chạy bất kỳ chương trình
    thực thi nào nằm trong nó.
        Noatime: cò này nói rằng hệ thống ílle không giữ bản


                                                                  267