* [gentoo-docs-it] Tradotto security/shb-limits.xml
@ 2006-04-07 10:42 99% Cristiano Chiucchiolo
0 siblings, 0 replies; 1+ results
From: Cristiano Chiucchiolo @ 2006-04-07 10:42 UTC (permalink / raw
To: gentoo-docs-it
[-- Attachment #1: Type: text/plain, Size: 2 bytes --]
[-- Warning: decoded text below may be mangled, UTF-8 assumed --]
[-- Attachment #2: shb-limits.xml --]
[-- Type: text/xml; name="shb-limits.xml", Size: 7529 bytes --]
<?xml version='1.0' encoding='UTF-8'?>
<!-- $Header: /var/www/www.gentoo.org/raw_cvs/gentoo/xml/htdocs/doc/en/security/shb-limits.xml,v 1.4 2006/02/26 12:37:22 nightmorph Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
<!-- See http://creativecommons.org/licenses/by-sa/1.0 -->
<sections>
<version>1.2</version>
<date>2005-12-26</date>
<section id="limits_conf">
<title>/etc/security/limits.conf</title>
<body>
<p>
Controllare l'utilizzo delle risorse può essere molto utile quando si cerca di
prevenire un Denial of Service locale o di limitare il numero massimo dei login
consentiti per un gruppo o per un utente. Tuttavia, delle impostazioni troppo
restrittive influirebbero negativamente sul comportamento del sistema, causando
l'impossibilità di avviare taluni programmi, quindi assicuratevi di controllare
accuratamente ogni impostazione.
</p>
<pre caption="/etc/security/limits.conf">
* soft core 0
* hard core 0
* hard nproc 15
* hard rss 10000
* - maxlogins 2
@dev hard core 100000
@dev soft nproc 20
@dev hard nproc 35
@dev - maxlogins 10
</pre>
<p>
Se volete impostare <c>nproc</c> o <c>maxlogins</c> a 0, forse fareste meglio a
cancellare l'utente. L'esempio sopra imposta le opzioni <c>dev</c> del gruppo
per i processi, il core file e <c>maxlogins</c>. Il resto è lasciato ai valori
di default.
</p>
<note>
<path>/etc/security/limits.conf</path> fa parte del pacchetto PAM e si
applicherà solo ai pacchetti che utilizzano PAM.
</note>
</body>
</section>
<section>
<title>/etc/limits</title>
<body>
<p>
<path>/etc/limits</path> è molto simile al file dei limiti
<path>/etc/security/limits.conf</path>. L'unica differenza sta nel formato e
nel fatto che il primo funziona soltanto per gli utenti e per le wild cards (non
per i gruppi). Diamo un'occhiata a un esempio di configurazione:
</p>
<pre caption="/etc/limits">
* L2 C0 U15 R10000
kn L10 C100000 U35
</pre>
<p>
Qui utilizziamo le impostazioni di default e una impostazione specifica per
l'utente kn. I limiti sono parte del pacchetto sys-apps/shadow. Non è
necessario impostare alcun limite in questo file se avete disattivato <c>pam</c>
in <path>make.conf</path> o se non avete configurato PAM correttamente.
</p>
</body>
</section>
<section id="quotas">
<title>Quote</title>
<body>
<warn>
Assicuratevi che i filesystem con cui lavorate supportino le quote. Per usare le
quote su ReiserFS, dovete patchare il kernel con le patch disponibili su
<uri link =
"ftp://ftp.namesys.com/pub/reiserfs-for-2.4/testing/quota-2.4.20">Namesys</uri>.
Tools per l'utente sono disponibili sul sito del <uri link =
"http://www.sf.net/projects/linuxquota/">progetto Linux DiskQuota</uri>. Anche
se le quote funzionano con ReiserFS, potreste incontrare dei problemi quando
cercate di usarle; siete stati avvertiti!
</warn>
<p>
Mettere le quote ad un filesystem restringe l'uso del disco ad un singolo utente
o gruppo. Le quote vengono abilitate nel kernel e sono aggiunte ad un punto di
mount in <path>/etc/fstab</path>. L'opzione del kernel va attivata nella sezione
<c>File systems->Quota support</c>. Applicate le impostazioni seguenti,
ricompilate il kernel e riavviate usando il nuovo kernel.
</p>
<p>
Iniziate installando le quote con <c>emerge quota</c>. Poi modidicate il vostro
<path>/etc/fstab</path> aggiungendo <c>usrquota</c> e <c>grpquota</c> alle
partizioni di cui volete restringere l'uso, come nell'esempio qui sotto.
</p>
<pre caption="/etc/fstab">
/dev/sda1 /boot ext2 noauto,noatime 1 1
/dev/sda2 none swap sw 0 0
/dev/sda3 / reiserfs notail,noatime 0 0
/dev/sda4 /tmp ext3 noatime,nodev,nosuid,noexec,usrquota,grpquota 0 0
/dev/sda5 /var ext3 noatime,nodev,usrquota,grpquota 0 0
/dev/sda6 /home ext3 noatime,nodev,nosuid,usrquota,grpquota 0 0
/dev/sda7 /usr reiserfs notail,noatime,nodev,ro 0 0
/dev/cdroms/cdrom0 /mnt/cdrom iso9660 noauto,ro 0 0
proc /proc proc defaults 0 0
</pre>
<p>
Su ogni partizione per cui avete abilitato del quote, create i file quota
(<path>aquota.user</path> e <path>aquota.group</path>) e salvateli nella radice
della partizione.
</p>
<pre caption="Creare i file quota">
# <i>touch /tmp/aquota.user</i>
# <i>touch /tmp/aquota.group</i>
# <i>chmod 600 /tmp/aquota.user</i>
# <i>chmod 600 /tmp/aquota.group</i>
</pre>
<p>
Questa operazione deve essere eseguita su ogni partizione per cui sono state
attivate le quote. Dopo aver aggiunto e configurato i file quota, dobbiamo
aggiungere lo script <c>quota</c> al runlevel di boot.
</p>
<pre caption="Aggiungere quota al runlevel di boot">
# <i>rc-update add quota boot</i>
</pre>
<p>
Adesso configureremo il sistema in modo che controlli le quote una volta alla
settimana, aggiungendo la seguente riga a <path>/etc/crontab</path>:
</p>
<pre caption="Aggiungere il controllo delle quote a crontab">
0 3 * * 0 /usr/sbin/quotacheck -avug.
</pre>
<p>
Dopo aver riavviato la macchina, è il momento di configurare le quote per gli
utenti e per i gruppi. <c>edquota -u kn</c> avvierà l'editor definito in $EDITOR
(di default è nano), consentendovi di editare le quote dell'utente kn.
<c>edquota -g</c> farà la stessa cosa per i gruppi.
</p>
<pre caption="Configurare le quote per l'utente kn">
Quotas for user kn:
/dev/sda4: blocks in use: 2594, limits (soft = 5000, hard = 6500)
inodes in use: 356, limits (soft = 1000, hard = 1500)
</pre>
<p>
Per maggiori dettagli leggete <c>man edquota</c> o il <uri
link="http://www.tldp.org/HOWTO/Quota.html">Quota mini howto</uri>.
</p>
</body>
</section>
<section>
<title>/etc/login.defs</title>
<body>
<p>
Se la vostra politica di sicurezza prevede che gli utenti dovrebbero cambiare la
loro password ogni due settimane, cambiate il valore <c>PASS_MAX_DAYS</c> a 14 e
<c>PASS_WARN_AGE</c> a 7. È consigliato utilizzare il password aging, dato che
i metodi di forza bruta possono scoprire qualunque password, se hanno abbastanza
tempo. Raccomandiamo inoltre di impostare <c>LOG_OK_LOGINS</c> a yes.
</p>
</body>
</section>
<section>
<title>/etc/login.access</title>
<body>
<p>
Anche il file <path>login.access</path> è parte del pacchetto sys-apps/shadow, e
che fornisce una tabella di controllo dei login. Questa tabella è usata per
controllare chi può loggarsi e chi no, basandosi sul nome dell'utente, del
gruppo o dell'host. Di default, a tutti gli utenti del sistema è consentito di
loggarsi, quindi il file contiene solo commenti ed esempi. Che stiate
mettendo in sicurezza un server oppure una workstation, noi vi raccomandiamo di
configurare questo file, cosicché nessun altro tranne voi (l'amministratore)
abbia accesso alla console.
</p>
<note>
Queste impostazioni non si applicano per l'utente root.
</note>
<pre caption="/etc/login.access">
-:ALL EXCEPT wheel sync:console
-:wheel:ALL EXCEPT LOCAL .gentoo.org
</pre>
<impo>
Fate attenzione quando configurate queste opzioni, dato che un errore vi
lascerebbe senza alcuna possibilità di accedere alla macchina, sempre che non
disponiate dei privilegi di root.
</impo>
<note>
Queste impostazioni non si applicano a SSH, dato che SSH non esegue
<c>/bin/login</c> di default. Questo può essere abilitato impostando
<c>UseLogin yes</c> in <path>/etc/ssh/sshd_config</path>.
</note>
<p>
Questo configurerà gli accessi in modo che i membri del gruppo wheel possano
loggarsi localmente o dal dominio gentoo.org. Forse è troppo paranoico, ma è
meglio essere sicuri che dispiaciuti.
</p>
</body>
</section>
</sections>
^ permalink raw reply [relevance 99%]
Results 1-1 of 1 | reverse | options above
-- pct% links below jump to the message on this page, permalinks otherwise --
2006-04-07 10:42 99% [gentoo-docs-it] Tradotto security/shb-limits.xml Cristiano Chiucchiolo
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox