[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]

5. Benutzer/Gruppen Einschränkungen

• /etc/security/limits.conf
• /etc/limits
• Quotas
• /etc/login.defs
• /etc/security/access.conf

5.a. /etc/security/limits.conf

Die Kontrolle von Ressourcenbegrenzungen kann sehr effektiv sein, wenn es darum geht eine lokale Denial of Service Attacke zu verhindern oder die maximal erlaubten Logins für eine Gruppe oder einen Benutzer zu handhaben. Jedoch werden zu strikte Einstellung das Systemverhalten behindern und werden in Programmfehlern resultieren. Stellen Sie daher sich, dass Sie die einzelnen Einstellungen vorher kontrollieren.

*    soft core 0
*    hard core 0
*    hard nproc 15
*    hard rss 10000
*    -    maxlogins 2
@dev hard core 100000
@dev soft nproc 20
@dev hard nproc 35
@dev -    maxlogins 10

Wenn Sie dabei sind den Wert von nproc oder maxlogins gleich 0 zu setzen, sollten Sie diesen Benutzer vielleicht lieber löschen. Das Beispiel oben setzt die Einstellungen für die Gruppe dev für Prozesse, Kerndateien und maxlogins. Der Rest erhält einen Standardwert.

5.b. /etc/limits

/etc/limits ist recht ähnlich zur Limit-Datei /etc/security/limits.conf. Der einzige Unterschied ist das Format und dass diese nur auf Benutzern oder Wild-Cards (aber keinen Gruppen) beruht. Werfen wir einen Blick auf die Konfiguration:

*   L2 C0 U15 R10000
kn L10 C100000 U35

Hier setzen wir die Standardeinstellungen und eine spezielle Einstellung für den Anwender kn. Limits sind ein Teil des sys-apps/shadow Paketes. Es ist nicht notwendig irgendwelche Beschränkungen in dieser Datei zu setzen, wenn Sie pam in /etc/make.conf aktiviert haben.

5.c. Quotas

Die Anwendung von Quotas auf einem Dateisystem beschränkt die Datenträgerverwendung je nach Gruppe oder Benutzer. Quotas werden im Kernel aktiviert und zu einem Mount Point in /etc/fstab hinzugefügt. Die Kernel-Option wird bei der Kernelkonfiguration unter File systems->Quota support aktiviert. Nehmen Sie die Einstellung vor, kompilieren Sie den Kernel neu und starten Sie mit diesem Ihren Computer neu.

Beginnen Sie mit der Installation von Quotas mit emerge quota. Passen Sie Ihre /etc/fstab an und fügen Sie usrquota und grpquota zu den Partition, bei denen Sie die Festplattennutzung begrenzen wollen, wie im Beispiel unten, hinzu.

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda5 /var ext3 noatime,nodev,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1 0 0
/dev/sda5 /var ext3 noatime,nodev,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1 0 0
/dev/sda6 /home ext3 noatime,nodev,nosuid,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Auf jeder Partition auf der Sie Quotas aktiviert haben, erstellen Sie nun die Quota-Dateien (aquota.user und aquota.group) und setzen diese ins Root der Partition.

# touch /tmp/aquota.user
# touch /tmp/aquota.group
# chmod 600 /tmp/aquota.user
# chmod 600 /tmp/aquota.group

Dieser Schritt muss auf jeder Partition durchgeführt werden, auf der Quotas aktiviert wurden. Nachdem Sie die Quota-Dateien erstellt und konfiguriert haben, müssen Sie das quota Initskript dem boot Runlevel hinzufügen.

# rc-update add quota boot

Der Linux-Kernel überwacht die Quotanutzung des Systems. Wenn aus irgendeinem Grund die Quotadaten beschädigt werden oder Sie das Gefühl haben, dass die Daten nicht korrekt sind, müssen Sie das System im Single-User-Modus starten (oder zumindest sicherstellen, dass aktuell keine Daten auf das Dateisystem geschrieben werden) und quotacheck -avugm ausführen.

Nachdem Sie den Rechner neu gestartet haben, ist es an der Zeit, die Quotas für die Benutzer und Gruppen festzulegen. edquota -u kn wird den in $EDITOR festgelegten Editor starten (Standard ist nano), damit Sie die Quotas des Benutzers kn bearbeiten können. edquota -g wird genau dasselbe, allerdings für Gruppen machen.

Quotas for user kn:
/dev/sda4: blocks in use: 2594, limits (soft = 5000, hard = 6500)
         inodes in use: 356, limits (soft = 1000, hard = 1500)

Für weitere Informationen lesen Sie bitte man edquota oder das Quota Mini-Howto

5.d. /etc/login.defs

Wenn Ihre Sicherheitsrichtlinie besagt, dass die Anwender jede Woche ihr Passwort ändern sollen, dann setzen Sie die Variable PASS_MAX_DAYS auf 14 und PASS_WARN_AGE auf 7. Es wird außerdem empfohlen, dass Sie alternde Passwörter benutzen, da Brute-Force Angriffe jedes Passwort finden können, solange ihnen genügend Zeit zur Verfügung steht. Wir empfehlen außerdem, dass Sie LOG_OK_LOGINS auf yes setzen.

5.e. /etc/security/access.conf

Die access.conf Datei ist auch ein Teil des sys-libs/pam Paketes, welche eine Tabelle zur Login Zugangskontrolle anbietet. Die Tabelle wird benutzt, um zu kontrollieren, wer sich und wer sich nicht einloggen darf, basierend auf dem Benutzernamen, dem Gruppennamen oder dem Hostnamen von dem der Versuch gestartet wird. Normalerweise sind alle Anwender des Systems berechtigt sich anzumelden; aus diesem Grunde ist die Datei nur mit Kommentaren und Beispielen gefüllt. Je nachdem wie Sie Ihren Server oder Ihren Arbeitsplatzrechner schützen empfehlen wir die Datei so anzupassen, das niemand anderes als Sie selbst (also der Administrator) Zugang zur Konsole bekommt.

-:ALL EXCEPT wheel sync:console
-:wheel:ALL EXCEPT LOCAL .gentoo.org

Dies erstellt Loginzugriff, so dass Mitglieder von wheel sich lokal oder von der gentoo.org Domain aus einloggen können. Vielleicht ist es ein wenig zu paranoid, aber sicher ist sicher.

[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]

Die Inhalte dieses Dokuments sind, sofern nicht explizit anders genannt, unter der Creative Commons - Namensnennung / Weitergabe Lizenz lizenziert. Die Gentoo Name and Logo Usage Guidelines treffen zu.