Wichtung: 1

Beschreibung: Die Kandidaten sollen in der Lage sein, Sicherheit auf Benutzerebene einzurichten. Dies beinhaltet die Begrenzung von Benutzer-Logins, Prozessen und der Hauptspeichernutzung.

Wichtigste Wissensgebiete:
Begrenzungen für Benutzerlogins, Prozesse und Hauptspeicherverbrauch festlegen.

Liste wichtiger Dateien, Verzeichnisse und Anwendungen:
quota
usermod
ulimit

Sicherheit auf Benutzerebene

Ziel dieses Kapitels ist es, eine kurze Anleitung zu geben, wie man einzelne Benutzer auf einem Linux-System standardmäßig einschränken kann, so dass diese keinen Schaden anrichten können. Hierbei sei aber erwähnt, dass nur einige Beispiele bzw. Anregungen gegeben werden, welche zum einen nicht für jedes Linux-System ausreichend sind und zum anderen nur kurz erläutert werden, da die meisten Programme bereits in vorherigen Kapiteln dieses LPI-Kurses besprochen wurden.

Benutzerverwaltung
Grundlegend sollte man sich Gedanken über die Benutzer und Gruppen machen. Welcher Benutzer hat Zugriff auf welche Verzeichnisse und Dateien? Welchen Gruppen gehört der Anwender an? Welche Rechte haben die einzelnen Gruppen? Durch ausgeklügelte Benutzer- und Gruppenrechte können ungewollte Dateizugriffe verhindert werden. Die Benutzerverwaltung unter Linux wurde im Kapitel 1.111.1 näher beschrieben.

Verzeichnisrechte
Als nächstes ist es wichtig, die Verzeichnisrechte richtig zu setzen, damit bestimmte Verzeichnisse und Dateien abgeschottet bzw. zugänglich gemacht werden. Hier spielt umask eine wichtige Rolle. umask legt fest, mit welchen Rechten Programme, Dateien und Verzeichnisse standardmäßig angelegt werden. Mehr dazu im Kapitel 1.104.5.

Speicherbeschränkung
Anwender könnten theoretisch das Linux-System zum Absturz bringen, in dem das System mit Daten überfüllt wird. Um dies zu verhindern könnte man zum einen das Home-Laufwerk auf eine separate Partition auslagern oder den Speicher für den Benutzer beschränken. Diese Themen werden in den Kapiteln 1.104.4 und 1.102.1 näher erläutert.

Einschränkungen mit ulimit

Mit dem Befehl ulimit (user limits) können Grenzwerte für die Verwendung der Systemressourcen festgelegt und angezeigt werden. ulimit ist insbesondere für die Begrenzung des für Anwendungen verfügbaren Speichers hilfreich. Hiermit kann verhindert werden, dass eine Anwendung zu viel Speicher belegt, wodurch es zu einem Stillstand des Systems kommen kann.

-m Maximale Größe des physischen Arbeitsspeichers
-v Maximale Größe des virtuellen Arbeitsspeichers
-s Maximale Größe des Stapels
-c Maximale Größe der Core-Dateien
-a Anzeigen der festgelegten Grenzwerte

In /etc/profile können systemübergreifende Einstellungen vorgenommen werden. Die Einstellungen für einen bestimmten Benutzer wird in ~/.bashrc festgelegt:

# Einschränken des physischen Arbeitsspeichers (in kb)
ulimit -m 98304

# Einschränken des virtuellen Arbeitsspeichers (in kb)
ulimit -v 98304

Weitere Informationen

http://www.mpipks-dresden.mpg.de/~mueller/