π« Hoofdstuk 15.5: Gebruikers- en Bestandbeperkingen in Linux
Linux biedt mogelijkheden om systeembronnen te beperken per gebruiker en bestanden te beschermen tegen ongewenste wijzigingen. Dit voorkomt misbruik van bronnen en verhoogt de systeembetrouwbaarheid.
ββββββββββββββββββββββββββββββββββββββββββββ
π€ Gebruikersbeperkingen met ulimit
ββββββββββββββββββββββββββββββββββββββββββββ
Het `ulimit`-mechanisme stelt limieten in voor hoeveel bronnen een gebruiker mag verbruiken. Dit helpt om één gebruiker te beperken zodat hij of zij het systeem niet overbelast.
π Veelvoorkomende limiettypen:
β’ **-a** β Toont alle ingestelde limieten voor de huidige gebruiker
β’ **-f** β Maximaal toegestane bestandsgrootte (in blokken)
β’ **-n** β Aantal gelijktijdig open bestanden per gebruiker
β’ **-u** β Aantal processen dat een gebruiker mag starten
β’ **-t** β Maximale CPU-tijd per proces (in seconden)
π Voorbeeldtoepassingen:
β Voorkomen dat een gebruiker gigantische bestanden aanmaakt
β Beperken van serverbelasting door limieten op processen of open bestanden
β Verhogen van beveiliging bij gedeelde omgevingen
π Beheer:
De instellingen kunnen tijdelijk worden toegepast in een sessie of permanent worden ingesteld in shellconfiguratiebestanden zoals `.bashrc`, `/etc/security/limits.conf`, of via systemd-servicebestanden.
ββββββββββββββββββββββββββββββββββββββββββββ
π Bestandsattributen beheren met chattr
ββββββββββββββββββββββββββββββββββββββββββββ
Het `chattr`-mechanisme biedt extra bescherming voor bestanden. In tegenstelling tot standaard bestandsrechten, blijven deze attributen van kracht β zelfs voor rootgebruikers β tenzij ze expliciet worden verwijderd.
π Veelgebruikte attributen:
β’ **+a** (append only):
β Bestand mag alleen worden aangevuld, niet overschreven of verwijderd
β Handig voor logbestanden of auditfiles
β’ **+i** (immutable):
β Bestand kan niet worden aangepast, hernoemd of verwijderd
β Extra bescherming tegen malware of gebruikersfouten
β’ **+s** (secure deletion):
β Bij verwijdering worden gegevens overschreven met nullen
β Beperkte ondersteuning op sommige bestandssystemen
β’ **+d** (no dump):
β Bestand wordt uitgesloten van back-ups met `dump`
β’ **+j** (journal):
β Wijzigingen worden eerst in een journal geplaatst
β Zorgt voor betere gegevensintegriteit op bestandssystemen zoals ext3/ext4
π Toepassing:
Deze attributen worden vooral gebruikt op systemen met hoge beveiligingsvereisten of bij back-ups, logbeheer en configuratiebestanden.
ββββββββββββββββββββββββββββββββββββββββββββ
β
Samenvatting
ββββββββββββββββββββββββββββββββββββββββββββ
β’ `ulimit` stelt limieten in voor wat een gebruiker op het systeem mag doen qua bronnengebruik
β’ `chattr` biedt geavanceerde bescherming op bestandsniveau, zelfs tegen root
β’ Samen vormen ze een belangrijk onderdeel van systeembeveiliging, stabiliteit en resource management