Ubuntu 24.04安装时如何配置符合DISA STIG规范的LVM分区及安全挂载
2026-4-17
Ubuntu 24.04安装时如何配置符合DISA STIG规范的LVM分区及安全挂载
我完全理解你遇到的这个困扰——毕竟在Red Hat系系统上做惯了符合DISA STIG的LVM分区,换到Ubuntu 24.04确实会发现安装器的逻辑不一样,尤其是手动创建的LVM经常不被识别。下面我会一步步带你完成符合规范的配置,不管是在安装器内直接操作,还是提前用命令行准备LVM,都能搞定:
方法一:直接在Ubuntu安装器内配置LVM分区
这是最稳妥的方式,避免安装器识别外部LVM的问题:
- 当安装到「Installation type」步骤时,选择Manual(手动)选项,进入自定义分区界面。
- 创建基础分区结构(严格符合STIG要求):
- EFI系统分区(UEFI模式下):选择空闲磁盘空间,点击「+」,设置大小至少512MB,类型选「Primary」,位置选「Beginning of this space」,挂载点选
/boot/efi,文件系统选FAT32。 - /boot分区:再选空闲空间,点击「+」,大小建议1GB以上,类型「Primary」,挂载点
/boot,文件系统选ext4(STIG要求/boot必须是独立非LVM分区)。 - LVM物理卷:把剩余的全部空闲空间用来创建物理卷——点击「+」,大小设为剩余全部,类型「Primary」,文件系统选择physical volume for LVM,点击「OK」。
- EFI系统分区(UEFI模式下):选择空闲磁盘空间,点击「+」,设置大小至少512MB,类型选「Primary」,位置选「Beginning of this space」,挂载点选
- 创建卷组(VG):在分区列表里找到刚才的物理卷,点击「Configure LVM」,在弹窗里选择「Create volume group」,给卷组起个名字(比如
ubuntu-vg),勾选对应的物理卷后点击「OK」。 - 创建符合STIG要求的逻辑卷(LV):在卷组下逐个创建所需分区:
- /根分区:点击「Create logical volume」,选择目标卷组,设置大小(建议20GB以上),命名为
root,文件系统选ext4,挂载点设为/。 - /var分区:创建逻辑卷
var,大小按需设置(比如10GB以上),文件系统ext4,挂载点/var。 - /var/log分区:创建逻辑卷
var-log,大小按需,文件系统ext4,挂载点/var/log。 - /var/log/audit分区:创建逻辑卷
var-log-audit,大小按需,文件系统ext4,挂载点/var/log/audit。 - /tmp分区:创建逻辑卷
tmp,大小建议4GB以上,文件系统ext4,挂载点/tmp。 - 交换分区(可选,符合STIG内存要求):创建逻辑卷
swap,大小建议和内存相当,文件系统选swap area。
- /根分区:点击「Create logical volume」,选择目标卷组,设置大小(建议20GB以上),命名为
- 配置安全挂载选项:选中每个需要设置的逻辑卷,点击「Change」,在「Mount options」里添加对应参数(选项间用逗号分隔,无空格):
- /var:添加
noexec,nodev - /tmp:添加
noexec,nodev,nosuid - /var/log:添加
nodev - /var/log/audit:添加
nodev
- /var:添加
- 确认配置无误后,点击「Install Now」,确认分区变更,继续完成后续安装流程。
方法二:提前在Live环境手动创建LVM(解决安装器不识别问题)
如果之前手动创建LVM后安装器没显示,你可以先在Ubuntu Live系统里用命令行配置好LVM,再让安装器识别:
- 打开终端,用
fdisk或parted创建磁盘分区,将用于LVM的分区类型标记为8e(LVM类型)。 - 创建物理卷:
pvcreate /dev/sdXn(替换sdXn为你的LVM分区路径,比如/dev/sda3) - 创建卷组:
vgcreate ubuntu-vg /dev/sdXn - 创建各个逻辑卷:
lvcreate -L 20G -n root ubuntu-vg lvcreate -L 10G -n var ubuntu-vg lvcreate -L 5G -n var-log ubuntu-vg lvcreate -L 2G -n var-log-audit ubuntu-vg lvcreate -L 4G -n tmp ubuntu-vg lvcreate -L 8G -n swap ubuntu-vg # 按需调整大小 - 格式化各个逻辑卷:
mkfs.ext4 /dev/ubuntu-vg/root mkfs.ext4 /dev/ubuntu-vg/var mkfs.ext4 /dev/ubuntu-vg/var-log mkfs.ext4 /dev/ubuntu-vg/var-log-audit mkfs.ext4 /dev/ubuntu-vg/tmp mkswap /dev/ubuntu-vg/swap - 启动安装器,进入手动分区模式,此时你会看到
/dev/mapper/ubuntu-vg-xxx形式的逻辑卷,分别为它们设置对应的挂载点和安全挂载选项,然后完成安装。
安装后的验证步骤
安装完成后,建议检查/etc/fstab文件,确保挂载选项正确生效,比如:
/dev/mapper/ubuntu-vg-root / ext4 defaults 0 1 /dev/mapper/ubuntu-vg-var /var ext4 defaults,noexec,nodev 0 2 /dev/mapper/ubuntu-vg-tmp /tmp ext4 defaults,noexec,nodev,nosuid 0 2 /dev/mapper/ubuntu-vg-var-log /var/log ext4 defaults,nodev 0 2 /dev/mapper/ubuntu-vg-var-log-audit /var/log/audit ext4 defaults,nodev 0 2 /dev/mapper/ubuntu-vg-swap none swap sw 0 0
备注:内容来源于stack exchange,提问作者ZappedC64
