|
1.
/etc/security/limits.conf
Контроль использования ресурсов может быть очень эффективным при попытке
предотвращения локальной атаки на отказ от обслуживания или ограничения
максимального количества входов в систему для группы или пользователя. Однако
излишне строгие настройки будут затормаживать работу вашей системы и станут
причиной сбоев программ, поэтому проверьте каждый из параметров.
Листинг 1.1: /etc/security/limits.conf |
* soft core 0
* hard core 0
* hard nproc 15
* hard rss 10000
* - maxlogins 2
@dev hard core 100000
@dev soft nproc 20
@dev hard nproc 35
@dev - maxlogins 10
|
Если вы пытаетесь установить nproc или maxlogins в 0, то
подумайте, может, лучше вместо этого удалить пользователя. В примере выше
установлены настройки группы dev для процессов, основных файлов и
maxlogins. Все остальное установлено в значения по умолчанию.
Примечание:
/etc/security/limits.conf является частью пакета PAM и применима
только для пакетов, использующих PAM.
|
1.
/etc/limits
/etc/limits очень схож с файлом ограничений
/etc/security/limits.conf. Единственное отличие — формат,
который применим лишь для пользователей или заполнителей (но не для групп). Вот
пример конфигурации:
Листинг 1.1: /etc/limits |
* L2 C0 U15 R10000
kn L10 C100000 U35
|
Здесь устанавливаются настройки по умолчанию и специфичные настройки для
пользователя kn. limits являются частью пакета sys-apps/shadow. Если вы
включили pam в make.conf, то нет необходимости
устанавливать какие-либо ограничения в этом файле.
1.
Квоты
Предупреждение:
Проверьте, что рабочая файловая система поддерживает квоты. Чтобы задействовать
квоты для ReiserFS, необходимо наложить заплатку на ядро,которая доступна на
сайте
Namesys.
Пользовательские утилиты можно загрузить с сайта проекта
Linux DiskQuota project.
При совместной работе квот с ReiserFS вы можете встретить проблемы. Мы вас
предупредили!
|
Установка квот на файловые разделы ограничивает использование дискового
пространства для каждого пользователя или каждой группы. Квоты должны быть
включены в ядре и добавлены к точке монтирования в /etc/fstab.
Параметр ядра включается в конфигурации ядра в разделе File
systems->Quota support. Установите следующие настройки, пересоберите
ядро и перезагрузитесь в систему с новым ядром.
Начните с установки квот, запустив emerge quota. Затем измените
/etc/fstab и добавьте usrquota и grpquota к
разделам, использование которых вы хотите ограничить, так, как показано в
примере ниже.
Листинг 1.1: /etc/fstab |
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp ext3 noatime,nodev,nosuid,noexec,usrquota,grpquota 0 0
/dev/sda5 /var ext3 noatime,nodev,usrquota,grpquota 0 0
/dev/sda6 /home ext3 noatime,nodev,nosuid,usrquota,grpquota 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
|
Создайте для каждого раздела, для которого включены квоты, файлы квот
(aquota.user и aquota.group) и поместите их в корень
каждого из разделов.
Листинг 1.1: Создание файлов квот |
# touch /tmp/aquota.user
# touch /tmp/aquota.group
# chmod 600 /tmp/aquota.user
# chmod 600 /tmp/aquota.group
|
Это шаг выполняется для любого раздела, для которого включены квоты. После
добавления и настройки файлов квот вам понадобится добавить сценарий запуска
quota в загрузочный уровень запуска.
Важно:
XFS проверяет все квоты самостоятельно, поэтому для нее не требуется
добавления сценария quota в начальный уровень загрузки. Есть ряд
файловых систем, не указанных в этом документе, которые функционируют также,
поэтому обратитесь к странице руководства вашей файловой системы, для того,
чтобы узнать, как она обрабатывает проверки квот.
|
Листинг 1.1: Добавление квот в загрузочный уровень исполнения |
# rc-update add quota boot
|
Теперь настроим систему для проверки квот раз в неделю, добавив следующую
строку в /etc/crontab:
Листинг 1.1: Добавление проверки квот в crontab |
0 3 * * 0 /usr/sbin/quotacheck -avug.
|
Перезагрузив компьютер, время установить квоты для пользователей и групп. С
помощью команды edquota -u kn запустится редактор, определенный
переменной $EDITOR (по умолчанию nano) для правки квот для пользователя kn.
edquota -g сделает то же самое для групп.
Листинг 1.1: Установка квот для пользователя kn |
Quotas for user kn:
/dev/sda4: blocks in use: 2594, limits (soft = 5000, hard = 6500)
inodes in use: 356, limits (soft = 1000, hard = 1500)
|
Для большей информации обратитесь к man edquota или Quota miniHOWTO.
1.
/etc/login.defs
Если правилами определено, что пользователи должны менять свои пароли каждые
две недели, измените значения переменной PASS_MAX_DAYS на 14 и
PASS_WARN_AGE на 7. Это рекомендуется для того, чтобы предотвратить
старение пароля, так как полный перебор всех значений может взломать любой
пароль, если есть достаточно времени. Также рекомендуется установить
LOG_OK_LOGINS в значение yes.
1.
/etc/login.access
Файл login.access также является частью пакета sys-apps/shadow,
который управляет процессом входа в систему. Он определяет на основании имени
пользователя, группы или узла, кто сможет войти в систему, а кто не сможет. Так
как по умолчанию этот файл содержит лишь примеры и комментарии, то все
пользователи системы могут войти в систему. В зависимости от того, что вы
защищаете — сервер или рабочую станцию, рекомендуется настроить этот файл
так, чтобы никто, кроме вас (как администратора), не мог получить доступ к
консоли.
Примечание:
Эти настройки не влияют на суперпользователя.
|
Листинг 1.1: /etc/login.access |
-:ALL EXCEPT wheel sync:console
-:wheel:ALL EXCEPT LOCAL .gentoo.org
|
Важно:
Настраивая эти параметры, будьте осторожны, так как любая ошибка может
привести к тому, что вы не сможете войти в собственную систему, не
воспользовавшись правами суперпользователя.
|
Примечание:
Эти настройки не применимы для SSH, так как по умолчанию для SSH не
запускается /bin/login. Это может быть включено с помощью параметра
UseLogin yes в файле /etc/ssh/sshd_config.
|
Это устанавливает доступ на вход в систему так, что только члены группы
wheel могут входить в систему локально или из домена gentoo.org. Возможно,
попахивает паранойей, но лучше быть в безопасности, чем сожалеть о
потерянном.
|
Обновлено 8 июля 2007 |
Исходный документ обновлен 15 ноября 2011 |
|
Donate to support our development efforts.
|
|
|
