|
1.
/etc/security/limits.conf
Controlarea utilizării resurselor poate fi foarte efectivă în momentul în care
încercaţi să preveniţi un atac local de tip Denial of Service sau să
restricţionaţi numărul maxim de autentificări pentru un grup sau un utilizator
de sistem. În orice caz, setări prea stricte vor modifica comportamentul
sistemului dvs. şi vor rezulta erori de programe, aşadar asiguraţi-vă că
verificaţi fiecare setare, mai întâi.
Cod 1.1: /etc/security/limits.conf |
* soft core 0
* hard core 0
* hard nproc 15
* hard rss 10000
* - maxlogins 2
@dev hard core 100000
@dev soft nproc 20
@dev hard nproc 35
@dev - maxlogins 10
|
Dacă încercaţi să setaţi nproc sau maxlogins la 0, poate că ar
trebui să ştergeţi utilizatorul, în loc. Exemplul de mai sus defineşte setările
grupului dev relativ la procese, fişiere core şi numărul maxim de
autentificări definit de maxlogins. Restul este setat la o valoare
implicită.
Notă:
/etc/security/limits.conf este componentă a pachetului PAM şi se
aplica doar pachetelor ce utilizează PAM.
|
1.
/etc/limits
/etc/limits este foarte similar cu fişierul de limite
/etc/security/limits.conf. Singura diferenţă este formatul şi
faptul că funcţionează pentru utilizatori sau modele de potrivire a numelor de
utilizatori (nu şi de grupuri). Haideţi să aruncăm o privire la un exemplu de
configurare:
Cod 1.1: /etc/limits |
* L2 C0 U15 R10000
kn L10 C100000 U35
|
Aici definim setările implicite şi o setare specifică pentru utilizatorul kn.
Fişierul limits face parte din pachetul sys-apps/shadow. Nu este necesar să
setaţi nici o limită în acest fişier dacă aţi dezactivat pam în
make.conf sau nu aţi configurat corect PAM.
1.
Cote
Atenţie:
Asiguraţi-vă că sistemul de fişiere pe care îl aveţi, suportă cote. Pentru a
utiliza cote pe ReiserFS, trebuie să vă modificaţi sursele de kernel cu unele
patch-uri disponibile de la Namesys.
Utilitare pentru utilizatori sunt disponibile la proiectul Linux DiskQuota. În
timp ce cotele funcţionează pe ReiserFS, este posibil să înregistraţi probleme
în timpul utilizării acestora -- aţi fost înştiintaţi!
|
Aplicarea cotelor pe un sistem de fişiere, restricţionează utilizarea discului
pe baza unor utilizatori sau grupuri. Cotele sunt activate în kernel şi
adăugate într-un director de mount în /etc/fstab. Opţiunea este
activată în configurarea kernel-ului la File systems->Quota support.
Aplicaţi următoarele setări, recompilaţi kernel-ul şi reporniţi utilizând noul
kernel.
Începeţi în a instala cotele prin emerge quota. Apoi, modificaţi
fişierul dvs. /etc/fstab şi adăugaţi usrquota şi
grpquota partiţiilor cărora doriţi să le restricţionaţi utilizarea
discului, ca în exemplul de mai jos.
Cod 1.1: /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp ext3 noatime,nodev,nosuid,noexec,usrquota,grpquota 0 0
/dev/sda5 /var ext3 noatime,nodev,usrquota,grpquota 0 0
/dev/sda6 /home ext3 noatime,nodev,nosuid,usrquota,grpquota 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
Pe fiecare partiţie pe care aţi activat cotele, creaţi fişierele de cotă
(aquota.user şi aquota.group) şi copiaţi-le în
rădăcina partiţiei.
Cod 1.1: Crearea fişierelor de cotă |
# touch /tmp/aquota.user
# touch /tmp/aquota.group
# chmod 600 /tmp/aquota.user
# chmod 600 /tmp/aquota.group
|
Acest pas trebuie efectuat pe fiecare partiţie pe care sunt activate cotele.
După adăugarea şi configurarea fişierelor de cotă, trebuie să adăugăm script-ul
de quota în nivelul de iniţializare boot.
Cod 1.1: Adăugarea quota în nivelul de iniţializare boot |
# rc-update add quota boot
|
Acum, vom configura sistemul pentru a verifica cotele odată pe săptămână prin
adăugarea următoarei linii în /etc/crontab:
Cod 1.1: Addăugarea verificării de cotă în crontab |
0 3 * * 0 /usr/sbin/quotacheck -avug.
|
După repornirea maşinii, este timpul să setăm cotele pentru utilizatori şi
grupuri. edquota -u kn va porni editorul definit în $EDITOR (implicit
este nano) şi vă va lăsa să editaţi cotele pentru utilizatorul kn. edquota
-g va efectua aceeaşi acţiune pentru grupuri.
Cod 1.1: Setarea cotelor pentru utilizatorul kn |
Quotas for user kn:
/dev/sda4: blocks in use: 2594, limits (soft = 5000, hard = 6500)
inodes in use: 356, limits (soft = 1000, hard = 1500)
|
Pentru mai multe detalii, consultaţi man edquota sau Mini Ghidul pentru Cote.
1.
/etc/login.defs
Dacă politica dvs. de securitate indică faptul că utilizatorii ar trebui să-şi
schimbe parola o dată pe săptămână, modificaţi valoarea opţiunii
PASS_MAX_DAYS la 14 şi pe cea a PASS_WARN_AGE la 7. Este
recomandat să utilizaţi învechirea parolei deoarece metodele brute force pot
găsi orice parolă, într-un anumit timp. De asemenea, vă încurajăm să setaţi
LOG_OK_LOGINS la yes.
1.
/etc/login.access
Fişierul login.access face parte, de asemenea, din pachetul
sys-apps/shadow, ce oferă o tabelă de control al accesului pentru
autentificare. Acest tabel este utilizat pentru a controla cine are şi cine nu
are dreptul să se autentifice pe baza numelui de utilizator, grup sau sistem
gazdă. Implicit, tuturor utilizatorilor din sistem li se permite să se
autentifice, deci fişierul nu conţine decât comentarii şi exemple. Fie că vă
securizaţi server-ul sau staţia de lucru, vă recomandăm să setaţi acest fişier
pentru ca nimeni altcineva decât dvs. (administratorul) să aibă acces la
consolă.
Notă:
Aceste setări nu se aplică utilizatorului root.
|
Cod 1.1: /etc/login.access |
-:ALL EXCEPT wheel sync:console
-:wheel:ALL EXCEPT LOCAL .gentoo.org
|
Important:
Aveţi grijă când configuraţi aceste opţiuni, deoarece greşelile vă pot tăia
accesul la maşină dacă nu aveţi acces root.
|
Notă:
Aceste setări nu se aplică pentru SSH, deoarece SSH nu execută /bin/login
implicit. Aceasta poate fi activată prin setarea UseLogin yes în
/etc/ssh/sshd_config.
|
Aceasta va seta accesul pentru autentificare astfel încât utilizatorii membri
ai grupului wheel să se poată autentifica local din domeniul gentoo.org. Poate
puţin paranoic, dar mai bine să fiţi în siguranţă decât să regretaţi.
|
