|
1.
/etc/security/limits.conf
Resurssien rajoittaminen on tehokas keino estää paikallisia DOS-hyökkäyksiä
tai vain rajoittaa käyttäjän tai käyttäjääryhmän kirjautumisia. Liian
tiukat arvot kuitenkin rajoittavat järjestelmän toimintaa ja estävät joitakin
sovelluksia toimimasta, joten asetukset kannattaa testata huolella.
Koodilistaus 1.1: /etc/security/limits.conf |
* soft core 0
* hard core 0
* hard nproc 15
* hard rss 10000
* - maxlogins 2
@dev hard core 100000
@dev soft nproc 20
@dev hard nproc 35
@dev - maxlogins 10
|
Arvon 0 asettamisen nprocille tai maxloginsille sijaan
kannattaa yleensä poistaa koko käyttäjätunnus. Ylläolevat asetukset
asettavat dev-ryhmän prosessien, core-muistinvedoksen koon ja
maxlogins-kirjautumismäärän. Loput ovat oletusarvoja.
Huomaa:
/etc/security/limits.conf kuuluu PAMiin ja koskee vain PAMia
käyttäviä sovelluksia.
|
1.
/etc/limits
/etc/limits on hyvin samankaltainen kuin
/etc/security/limits.conf. Ainoa merkittävä ero on, että
limits hyväksyy vain käyttäjiä ja jokerimerkkejä, ei ryhmiä, asetuksiinsa:
Koodilistaus 1.1: /etc/limits |
* L2 C0 U15 R10000
kn L10 C100000 U35
|
Tässä asetetaan oletusasetukset ja käyttäjän kn asetukset. Limits kuuluu
sys-apps/shadowiin. Näitä asetuksia ei tarvitse asettaa jos pam on
asetettu käyttöön /etc/make.confissa.
1.
Levytilakiintiöt
Tärkeää:
Varmista että tiedostojärjestelmäsi tukee kiintiöitä. Kiintiötyökaluja saa
the Linux DiskQuota
-projektilta.
|
Tiedostojärjestelmän kiintiöt rajoittavat levyn käyttöastetta käyttäjittäin
ja ryhmittäin. Kiintiöt käännetään päälle ytimestä ja lisätään
liitoskohtaisesti /etc/fstabiin. Ytimen asetukset löytyvät
kohdasta File systems->Quota support. Lisää seuraavat
asetukset ja käännä uusi ydin ja käynnistä järjestelmä siihen.
Aloita asentamalla kiintiötuki komennolla emerge quota. Sen jälkeen
muokkaa /etc/fstabia ja lisää usrquotat ja
grpquotat osioille, joille haluat.
Koodilistaus 1.1: /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp ext3 noatime,nodev,nosuid,noexec,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv=1 0 0
/dev/sda5 /var ext3 noatime,nodev,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1 0 0
/dev/sda6 /home ext3 noatime,nodev,nosuid,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
Jokaiselle kiintiölliselle osiolle luodaan aquota.user ja
aquota.group juurihakemistoon.
Koodilistaus 1.1: Quota-tiedostojen luonti ja oikeuksien asetus |
# touch /tmp/aquota.user
# touch /tmp/aquota.group
# chmod 600 /tmp/aquota.user
# chmod 600 /tmp/aquota.group
|
Nämä tiedostot pitää luoda kaikille osioille joilla on kiintiöt. Kun ne on
lisätä ja asetettu, quota-skripti pitää lisätä boot-runlevelille.
Tärkeää:
XFS tarkistaa itse quotansa, eikä käytä quota-initskriptiä.
Myös muut ohjeessa mainitsemattomat tiedostojärjestelmät saattavat toimia näin,
joten lue vastaavat man-sivut tiedostojärjestelmästä saadaksesi selville
miten se hoitaa quotansa.
|
Koodilistaus 1.1: Quotan lisäys boottiin |
# rc-update add quota boot
|
Lisäksi järjestelmä asetetaan tarkastamaan kiintiöt viikottain lisäämällä
seuraava rivi /etc/crontabiin:
Koodilistaus 1.1: Kiintiötarkastus crontabissa |
0 3 * * 0 /usr/sbin/quotacheck -avug.
|
Uudelleenkäynnistyksen jälkeen asetetaan kiintiöt käyttäjille ja ryhmille.
Komento edquota -u kn käynnistää editorin, joka on määritelty
ympäristömuuttujassa $EDITOR (oletuksena nano) ja avaa kiintiöiden muokkauksen.
Komento edquota -g tekee saman ryhmille.
Koodilistaus 1.1: Kn-käyttäjän kiintiöiden asettaminen |
Quotas for user kn:
/dev/sda4: blocks in use: 2594, limits (soft = 5000, hard = 6500)
inodes in use: 356, limits (soft = 1000, hard = 1500)
|
Lisätietoja ohjesivulta man edquota tai oppaasta Quota mini howto.
1.
/etc/login.defs
Jos tietoturvakäytännössä on, että käyttäjien pitää vaihtaa salasanaa
vuoroviikoin, kannattaa asettaa PASS_MAX_DAYS 14:ään ja
PASS_WARN_AGE 7:ään. Salasanojen vanhenemista kannattaa käyttää,
sillä useimmat salasanat on murrettava raa’alla voimalla ajan mittaan.
Lisäksi on suositeltavaa asettaa LOG_OK_LOGINS=yes.
1.
/etc/security/access.conf
Access.conf kuuluu sys-apps/pamiin, joka määrää
käyttöoikeudet. Tässä tiedostossa määritellään mitkä käyttäjät, ryhmät tai
koneosoitteet voivat kirjautua. Oletusarvoisesti kaikki voivat kirjautua,
joten tiedosto sisältää aluksi vain kommentteja ja esimerkkejä. Sekä
palvelimille että työasemille kannattaa asettaa niin, että vain
niiden käyttäjä (ylläpitäjä) pääsee kirjautumaan.
Huomaa:
Näillä asetuksilla säädetään myös rootin rajoja.
|
Koodilistaus 1.1: /etc/security/access.conf |
-:ALL EXCEPT wheel sync:console
-:wheel:ALL EXCEPT LOCAL .gentoo.org
|
Tärkeää:
Ole tarkkana asetusten kanssa. Virheiden tapahtuessa saattaa käydä, ettei
koneelle pääse kirjautumaan ollenkaan ilman rootin salasanaa.
|
Huomaa:
Nämä asetukset eivät vaikuta SSH:hon, sillä SSH ei suorita /bin/loginia
oletuksena. Tämän saa muutettua tiedoston /etc/ssh/sshd_config
asetuksella UseLogin yes.
|
Ylläoleva antaa wheel-ryhmälle oikeudet paikalliseen kirjautumiseen tai
gentoo.org-osoitteesta kirjautumiseen. Asetukset saattavat vaikuttaa tiukilta,
muttei vara venettä kaada.
|
