CIS-konformes Partitionierungsschema mit Kickstart

Das Center for Internet Security (CIS) empfiehlt ein Partitionierungsschema, bei dem ingesamt acht Verzeichnisse auf eigene Partitionen ausgelagert werden sollen, unter anderem die üblichen Verdächtigen wie /home, /tmp oder /var.

Wird dafür der Logical Volume Manager (LVM) eingesetzt, ist der zu erwartende administrative Aufwand für die nachträgliche Anpassung der Partitionsgrössen noch halbwegs erträglich. Wie aber ist dafür die Kickstart-Datei für den Anaconda-Installer (CentOS) für einen typischen Server zu schreiben?

So geht’s:

# LVM: LV - CIS-compliant (/home, /tmp, /var, /var/log, /var/log/audit and /var/tmp on their own partitions)
# all sizes are in MB
# the sizes of the LVM LV's below require min. 12 GB disk size, 20 GB recommended
# Anaconda creates the LV's in reverse order, so put the static LV's at the end to let them being created first
logvol /var           --fstype="xfs"  --vgname=centos --percent=100 --name=var
logvol /              --fstype="xfs"  --vgname=centos --size=8192   --name=root
logvol /home          --fstype="xfs"  --vgname=centos --size=256    --name=home          --fsoptions="defaults,nodev"
logvol /tmp           --fstype="xfs"  --vgname=centos --size=128    --name=tmp           --fsoptions="defaults,nodev,nosuid,noexec"
logvol /var/log       --fstype="xfs"  --vgname=centos --size=512    --name=var_log
logvol /var/log/audit --fstype="xfs"  --vgname=centos --size=256    --name=var_log_audit
logvol /var/tmp       --fstype="xfs"  --vgname=centos --size=512    --name=var_tmp       --fsoptions="defaults,nodev,nosuid,noexec"
logvol swap           --fstype="swap" --vgname=centos --recommended --name=swap