Модуль pam_limits

Можно дополнительно лимитировать возможности пользователей, введя ограничения на доступ к системным ресурсам в каждом сеансе. Это полезно для защиты системы от атак типа "отказ от обслуживания". Модуль pam_limits может иметь только тип session. Он поддерживает два аргумента: debug и соп±=конфигурационный_файл (файл по умолчанию — /etc/security/limits. conf). На суперпользователя никакие ограничения не действуют.

В файле /etc/security/limits. conf задаются ограничения для отдельных пользователей и для групп. Все ограничения действуют в рамках одного сеанса. Каждая строка представляет собой отдельную запись. Строки, начинающиеся с символа, являются комментариями. Синтаксис записей таков: имя_пользователя имя_группы тип ресурс лимит

Выражение имя_пользователя \имя_группы означает, что используется либо имя пользователя, либо имя группы с предшествующим символом. Допускается метасимвол *, означающий "все пользователи" (или, соответственно, "все группы"). Поле тип содержит значение hard либо soft. В первом случае задается фиксированный лимит, во втором — лимит по умолчанию. Список значений параметра ресурс приведен в табл. 5.11. Параметр лимит — это собственно лимит на указанный ресурс.

Следует подчеркнуть, что ограничения действуют в рамках отдельного сеанса. Число сеансов ограничивается параметром maxlogins. Для конкретного пользователя можно вообще отменить все ограничения с помощью специального символа "-", как показано в листинге 5.18. В данном примере для всех пользователей предельный размер резидентного набора страниц составляет приблизительно 10 Мбайт на один сеанс. Каждый пользователь может одновременно открывать не больше четырех сеансов. Для пользователя bin все ограничения, включая предыдущие, сняты. Далее указаны дополнительные ограничения. Пользователю ftp разрешено открывать не больше 10 сеансов. Для пользователей группы managers предельное число процессов равно 40, а для всех пользователей группы developers максимальный размер заблокированного адресного пространства составляет 64 Мбайт.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок