Gentoo Logo

[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]


5. Benutzer/Gruppen Einschränkungen

Inhalt:

5.a. /etc/security/limits.conf

Die Kontrolle von Ressourcenbegrenzungen kann sehr effektiv sein, wenn es darum geht eine lokale Denial of Service Attacke zu verhindern oder die maximal erlaubten Logins für eine Gruppe oder einen Benutzer zu handhaben. Jedoch werden zu strikte Einstellung das Systemverhalten behindern und werden in Programmfehlern resultieren. Stellen Sie daher sich, dass Sie die einzelnen Einstellungen vorher kontrollieren.

Befehlsauflistung 1.1: /etc/security/limits.conf

*    soft core 0
*    hard core 0
*    hard nproc 15
*    hard rss 10000
*    -    maxlogins 2
@dev hard core 100000
@dev soft nproc 20
@dev hard nproc 35
@dev -    maxlogins 10

Wenn Sie dabei sind den Wert von nproc oder maxlogins gleich 0 zu setzen, sollten Sie diesen Benutzer vielleicht lieber löschen. Das Beispiel oben setzt die Einstellungen für die Gruppe dev für Prozesse, Kerndateien und maxlogins. Der Rest erhält einen Standardwert.

Notiz: /etc/security/limits.conf ist Teil des PAM Paketes und wird nur auf Pakete angewendet, die PAM benutzen.

5.b. /etc/limits

/etc/limits ist recht ähnlich zur Limit-Datei /etc/security/limits.conf. Der einzige Unterschied ist das Format und dass diese nur auf Benutzern oder Wild-Cards (aber keinen Gruppen) beruht. Werfen wir einen Blick auf die Konfiguration:

Befehlsauflistung 2.1: /etc/limits

*   L2 C0 U15 R10000
kn L10 C100000 U35

Hier setzen wir die Standardeinstellungen und eine spezielle Einstellung für den Anwender kn. Limits sind ein Teil des sys-apps/shadow Paketes. Es ist nicht notwendig irgendwelche Beschränkungen in dieser Datei zu setzen, wenn Sie pam in /etc/make.conf aktiviert haben.

5.c. Quotas

Wichtig: Stellen Sie sicher, dass ihr Dateisystem Quotas unterstützt. Benutzerprogramme sind beim Linux DiskQuota Projekt zu finden.

Die Anwendung von Quotas auf einem Dateisystem beschränkt die Datenträgerverwendung je nach Gruppe oder Benutzer. Quotas werden im Kernel aktiviert und zu einem Mount Point in /etc/fstab hinzugefügt. Die Kernel-Option wird bei der Kernelkonfiguration unter File systems->Quota support aktiviert. Nehmen Sie die Einstellung vor, kompilieren Sie den Kernel neu und starten Sie mit diesem Ihren Computer neu.

Beginnen Sie mit der Installation von Quotas mit emerge quota. Passen Sie Ihre /etc/fstab an und fügen Sie usrquota und grpquota zu den Partition, bei denen Sie die Festplattennutzung begrenzen wollen, wie im Beispiel unten, hinzu.

Befehlsauflistung 3.1: /etc/fstab

/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda5 /var ext3 noatime,nodev,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1 0 0
/dev/sda5 /var ext3 noatime,nodev,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1 0 0
/dev/sda6 /home ext3 noatime,nodev,nosuid,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0

Auf jeder Partition auf der Sie Quotas aktiviert haben, erstellen Sie nun die Quota-Dateien (aquota.user und aquota.group) und setzen diese ins Root der Partition.

Befehlsauflistung 3.2: Erstellen der Quota-Dateien

# touch /tmp/aquota.user
# touch /tmp/aquota.group
# chmod 600 /tmp/aquota.user
# chmod 600 /tmp/aquota.group

Dieser Schritt muss auf jeder Partition durchgeführt werden, auf der Quotas aktiviert wurden. Nachdem Sie die Quota-Dateien erstellt und konfiguriert haben, müssen Sie das quota Initskript dem boot Runlevel hinzufügen.

Wichtig: XFS führt alle Quotenüberprüfungen intern durch und benötigt nicht, dass das quota Skript zum boot Runlevel hinzugefügt wird. Es kann noch andere Dateisysteme geben, die nicht in diesem Dokument aufgeführt sind, die sich ähnlich verhalten. Lesen Sie daher bitte die man-Seiten Ihres Dateisystems und erfahren Sie mehr darüber wie Quotenüberprüfungen gehandhabt werden.

Befehlsauflistung 3.3: Quota zum boot Runlevel hinzufügen

# rc-update add quota boot

Der Linux-Kernel überwacht die Quotanutzung des Systems. Wenn aus irgendeinem Grund die Quotadaten beschädigt werden oder Sie das Gefühl haben, dass die Daten nicht korrekt sind, müssen Sie das System im Single-User-Modus starten (oder zumindest sicherstellen, dass aktuell keine Daten auf das Dateisystem geschrieben werden) und quotacheck -avugm ausführen.

Nachdem Sie den Rechner neu gestartet haben, ist es an der Zeit, die Quotas für die Benutzer und Gruppen festzulegen. edquota -u kn wird den in $EDITOR festgelegten Editor starten (Standard ist nano), damit Sie die Quotas des Benutzers kn bearbeiten können. edquota -g wird genau dasselbe, allerdings für Gruppen machen.

Befehlsauflistung 3.4: Bearbeiten der Quotas für den Benutzer kn

Quotas for user kn:
/dev/sda4: blocks in use: 2594, limits (soft = 5000, hard = 6500)
         inodes in use: 356, limits (soft = 1000, hard = 1500)

Für weitere Informationen lesen Sie bitte man edquota oder das Quota Mini-Howto

5.d. /etc/login.defs

Wenn Ihre Sicherheitsrichtlinie besagt, dass die Anwender jede Woche ihr Passwort ändern sollen, dann setzen Sie die Variable PASS_MAX_DAYS auf 14 und PASS_WARN_AGE auf 7. Es wird außerdem empfohlen, dass Sie alternde Passwörter benutzen, da Brute-Force Angriffe jedes Passwort finden können, solange ihnen genügend Zeit zur Verfügung steht. Wir empfehlen außerdem, dass Sie LOG_OK_LOGINS auf yes setzen.

5.e. /etc/security/access.conf

Die access.conf Datei ist auch ein Teil des sys-libs/pam Paketes, welche eine Tabelle zur Login Zugangskontrolle anbietet. Die Tabelle wird benutzt, um zu kontrollieren, wer sich und wer sich nicht einloggen darf, basierend auf dem Benutzernamen, dem Gruppennamen oder dem Hostnamen von dem der Versuch gestartet wird. Normalerweise sind alle Anwender des Systems berechtigt sich anzumelden; aus diesem Grunde ist die Datei nur mit Kommentaren und Beispielen gefüllt. Je nachdem wie Sie Ihren Server oder Ihren Arbeitsplatzrechner schützen empfehlen wir die Datei so anzupassen, das niemand anderes als Sie selbst (also der Administrator) Zugang zur Konsole bekommt.

Notiz: Diese Einstellungen gelten auch für root.

Befehlsauflistung 5.1: /etc/security/access.conf

-:ALL EXCEPT wheel sync:console
-:wheel:ALL EXCEPT LOCAL .gentoo.org

Wichtig: Seien Sie vorsichtig bei der Bearbeitung der Datei. Bei Fehlern könnten Sie sich aussperren, falls Sie nicht über root-Rechte verfügen.

Notiz: Diese Einstellungen wirken sich nicht auf SSH aus, da SSH /bin/login normalerweise nicht ausführt. Dies kann durch die Benutzung von "UseLogin yes" in /etc/ssh/sshd_config ermöglicht werden.

Dies erstellt Loginzugriff, so dass Mitglieder von wheel sich lokal oder von der gentoo.org Domain aus einloggen können. Vielleicht ist es ein wenig zu paranoid, aber sicher ist sicher.


[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]


Drucken

Alles ansehen

Seite aktualisiert 15. November 2011

Zusammenfassung: Kontrollieren Sie die Verwendung von Ressourcen.

Kim Nielsen
Autor

John P. Davis
Bearbeiter

Eric R. Stockbridge
Bearbeiter

Carl Anderson
Bearbeiter

Jorge Paulo
Bearbeiter

Sven Vermeulen
Bearbeiter

Benny Chuang
Bearbeiter

Sune Jeppesen
Bearbeiter

Tiemo Kieft
Bearbeiter

Zack Gilburd
Bearbeiter

Dan Margolis
Bearbeiter

Joshua Saddler
Bearbeiter

Jan Hendrik Grahl
Übersetzer

Tobias Scherbaum
Übersetzer

Matthias Geerdsen
Übersetzer

Tobias Heinlein
Übersetzer

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.