PAM - limitowanie uprawnień użytkowników

Kategoria: Artykuły, etykiety: system, bezpieczeństwo

Dodany: 2009-07-27 01:01 (zmodyfikowany: 2009-08-16 12:44)
Przez: winnetou

Wyświetleń: 24014

Tytułem wstępu

Zastanawiasz się jak ograniczyć samowolkę użytkowników w systemie? Masz dość powolnego działania systemu mimo, że zalogowanych jest tylko 5 użytkowników a maszyna teoretycznie powinna wytrzymać kolejnych minimum 10? Szukasz prostszego sposobu niż jail? Przyjrzyjmy się wbudowanym mechanizmom dostępnym "out-of-box".

Wykorzystane narzędzia

W standardowo zainstalowanym systemie wiele narzędzi korzysta z PAM - Pluggable Authentication Modules. Jednym z takich narzędzi jest /etc/security/limits.conf. Aby z zacząć z niego korzystać w plikach /etc/pam.d/login (i opcjonalnie /etc/pam.d/ssh) musimy odkomentować (lub jeśli nie istnieje to dopisać) linijkę:

session required pam_limits.so

Struktura pliku /etc/security/limits.conf

Limity określa się w pliku /etc/security/limits.conf, którego budowa wygląda następująco:

Kto TypOgraniczenia NazwaOgraniczenie Wartość

Kto może przybierać jedną z trzech wartości

  • nazwa użytkownika
  • nazwa grupy, która musi być poprzedzona znakiem @
  • wildcard * oznaczający wszystkich.

TypOgraniczenia - może przyjąć jedną z wartości:

  • hard - dla limitów nieprzekraczalnych
  • soft - dla limitów, które chwilowo mogą być przekroczone
  • "-" - co oznacza wyłączenie danego limitu

NazwaOgraniczenia przyjmuje jedną z poniższych wartości:

  • core - limit rozmiaru tak zwanych plików core tworzonych podczas awarii jakiegoś programu.
  • data - uboższa wersja narzędzia quota, ustawia rozmiar przestrzeni dyskowej przydzielonej użytkownikowi/grupie.*
  • fsize - maksymalny rozmiar pojedynczego pliku (przydatne gdy nie chcemy aby użytkownicy trzymali na naszym komputerze filmy czy obrazy ISO)*
  • memlock -
  • nofile - maksymalna liczba jednocześnie otwartych plików.
  • rss -
  • stack - maksymalny rozmiar stosu
  • cpu - maksymalny dostępny czas procesora, w minutach, dostępny dla pojedynczego procesu - ustawienie tego limitu pozwala zapobiegać sytuacjom gdy użytkownik zechce wykorzystać nasz komputer do kompilacji różnego rodzaju "kolosów". To, że ustawimy tutaj limit, np 2min nie oznacza, że użytkownik zostanie wylogowany po 2 minutach.
  • nproc - określa ile procesów może uruchomić użytkownik. Należy zwrócić baczną uwagę na podawane tu ograniczenie. Ustawienie zbyt małej wartości może doprowadzić do tego, że zalogowanie się na dane konto nie będzie możliwe - mimo iż użytkownik nie zrobił jeszcze nic złego. Pamiętajmy, że samo zalogowanie się do systemu uruchamia procesy typu login, powłoka, etc. Ustawienie zbyt dużej wartości (lub całkowite zignorowanie jej) może doprowadzić do (nie)świadomego ataku DoS
  • as -
  • maxlogins - maksymalna liczba równoległych logowań.
  • maxsyslogins - maksymalna liczba zalogowanych do systemu użytkowników.
  • priority - priorytet z jakim będą uruchamiane procesy użytkownika. W systemach Linux/Unix priorytet procesu zawiera się w przedziale [-20,20]. Przy czym im niższa wartość priorytetu tym więcej czasu procesora zostaje przydzielone. Standardowo procesy użytkowników uruchamiane są z priorytetem równym 0. Dodatkowo do manipulacji priorytetami służą narzędzia nice oraz renice. Priorytet poniżej zera może ustawić tylko super user
  • locks -
  • sigpending - maksymalna ilość oczekujących komunikatów (między procesami) (kernel >2.6.x)
  • msgqueue - dla systemów z krenelem 2.6.x rozmiar kolejki zajmowanej przez komunikaty POSIX
  • nice - maksymalny priorytet jaki użytkownik może ustawić dla procesu (wartość powinna być z przedziału [0, priority].
  • rtprio -

Uwaga! Jednostką podstawową dla wielkości plików i przestrzeni dyskowej jest KB.

* - Przy ustalaniu limitu na rozmiar pliku czy dostępnej przestrzeni dyskowej należy zwrócić baczną uwagę na już istniejące pliki, i na pliki z katalogu /etc/skel, które kopiowane są podczas tworzenia nowych kont. Ustawienie maksymalnego rozmiaru pliku na 50kb podczas gdy chociaż jeden z plików konfiguracyjnych zajmuje 100k może zablokować możliwość zalogowania się na konto lub błąd podczas tworzenia konta.

Przykłady użycia.

Załóżmy, że nasza maszyna to serwer udostępnia usługi ftp,www oraz konta shellowe. Chcemy ograniczyć użytkownikom z grupy ftp i www rozmiar pliku do 1MB, przydzieloną przestrzeń dyskową do 100MB, oraz zabronić im logowania się przez ssh oraz pozwolić na otwarcie maksymalnie 2 plików.

@ftp   hard   data        102400
@ftp   hard   fsize       1024
@ftp   hard   maxlogins   0
@ftp   hard   nofile      2
@www   hard   data        102400
@www   hard   fsize       1024
@www   hard   maxlogins   0
@www   hard   nofile      2

Dla użytkownikom posiadającym konta shell chcemy pozwolić na maksymalnie 2 równoległe logowania, przydzielimy 1GB przestrzeni dyskowe i 10MB na pojedynczy plik. Dopuścimy równoczesne otwarcie 5 plików, uruchomienie 10 procesów, ograniczymy czas procesora do 15 minut, pozwolimy zająć maksymalnie 30MB pamięci a uruchamiane przez nich procesy będą miały priorytet 10

@shell   hard   data        1048576
@shell   hard   fsize       10240
@shell   hard   maxlogins   2
@shell   hard   nofile      5
@shell   hard   nproc       10
@shell   hard   priority    15
@shell   hard   cpu         15
@shell   hard   memlock     30720

Dodatkowo dla użytkownika janek zniesiemy limit rozmiaru plików, ilości otwartych plików, oraz zwiększymy liczbę logowań, procesów i czas procesora.

janek   hard   data        1048576
janek   -      fsize       10240
janek   hard   maxlogins   5
janek   -      nofile      5
janek   hard   nproc       30
janek   hard   priority    15
janek   hard   cpu         30
janek   hard   memlock     30720

Uwaga: Limity użytkowników są ważniejsze od limitów grup. Powiedzmy, że użytkownik janek z powyższego przykładu należy do grupy shell to jedyne ograniczenia jakie będą go dotyczyć to te poprzedzone jego loginem. W przypadku, gdy grupa ma ustawionych więcej ograniczeń to ustawienia użytkownika nadpisują te powtarzające się.

Niestety nie znalazłem dokładnego opisu (a te które wskazał wujek google bardzo często były sprzeczne lub nie działały) kilku zmiennych dlatego nie opisałem ich. Jak tylko znajdę uaktualnię opis.

Błędy i sugestie proszę zgłaszać na:

  • JID: winnetou\małpa/jabster.pl
  • E-mail: wilkosz.p\małpa/gmail.com

OSnews Wykop Blip Flaker Kciuk Śledzik Facebook Identi.ca Twitter del.icio.us Google Bookmarks