Электронная библиотека
Хакер
Рубрика: Юниксоид
Xakep Online -> Журнал, номер #010, стр. 010-038-4
Все SUID файлы, которые оставил, я кинул в одну директорию, так чтобы мог их видеть.
Мои в `/usr/local/bin' или в `/bin', значит, они лежат в $PATH пользователей (то есть их могут использовать пользователи твоей системы). Поэтому помни, для тебя важно определить, какие программы позволить использовать юзерам, а какие нет! Прикрыть доступ к определенным программам можно или удалив эту программу, или же поставить на нее определенные права с помощью 'chmod'.
chmod 777 file <-- 777 означает разрешить полный доступ к файлу любому пользователю.
Квоты
Немалую роль в защите системы играют квоты. Я всегда использую квоты! Большинство людей они не волнуют, и считается, что они нужны только провайдерам и хостингам, но это не верно. Квоты могу помочь сохранить целостность системы. Они не только ограничивают размер дискового пространства для определенных пользователей, но также контролируют количество файлов, используемых одним юзером. К примеру такая ситуация: запустит кто-нибудь скрипт, который делает директорию после создания другой или после 1-байтного файла создает еще один, и все это по кругу :).
Такая программка не только съест всю память и загрузит процессор, но может и подвесить всю систему.
Для настройки квот на твоей системе нужно просто выбрать этот пункт во время инсталляции. Если же хочешь поставить их на уже проинсталленную систему, то придется перекомпилить ядро (как это сделать, я писал в прошлом выпуске журнала). Если у тебя кернел уже поддерживает квоты, то впиши это в конец файла `/etc/rc.local':
---- начало ----
# проверка квот при загрузке
if [ -x /usr/sbin/quotacheck ] then
echo "Checking quotas. This may take some time."
/usr/sbin/quotacheck -avug
echo " Done."
fi
# включаем квоты
if [ -x /usr/sbin/quotaon ] then
echo "Turning on quota."
/usr/sbin/quotaon -avug
fi
---- конец ----
После перезагрузки системы 'quotacheck' проверит твою файл-систему, затем проверит, не запущенна ли уже квота, а затем 'quotaon' включит поддержку квот. Простая команда 'quota user' даст тебе квоты пользователя, а 'quota group' покажет настройки квоты для этой группы.
Для смены настроек квот набери 'edquota [user] or [group]'. Создастся темп-файл и появится возможность ставить в нем настройки квот для определенных пользователей или групп. Например:
satan:/root# edquota evil
Quotas for user evil:
/dev/hda1: blocks in use: 279, limits (soft = 10000, hard = 15000)
inodes in use: 35, limits (soft = 1300, hard = 1500)
Здесь видно, что для пользователя поставлен лимит 10мегабайт и 15. Если же он превысит его, то единственное? что ему будет позволено делать, это стирать свои файлы, остальное автоматически прикроется.
Если ты хочешь получше разобраться и настроить квоты? набери `man quota'. Это должно показать тебе другие возможности квот, как вручную запустить этот сервис и где хранится вся информация и их настройки.