From owner-svn-doc-all@freebsd.org Wed Jun 15 18:15:09 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 2E11EA47130; Wed, 15 Jun 2016 18:15:09 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id F031D17E9; Wed, 15 Jun 2016 18:15:08 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u5FIF8Mt049342; Wed, 15 Jun 2016 18:15:08 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u5FIF8EF049340; Wed, 15 Jun 2016 18:15:08 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201606151815.u5FIF8EF049340@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Wed, 15 Jun 2016 18:15:08 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48931 - in head/de_DE.ISO8859-1/books/handbook: basics security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 15 Jun 2016 18:15:09 -0000 Author: bhd Date: Wed Jun 15 18:15:07 2016 New Revision: 48931 URL: https://svnweb.freebsd.org/changeset/doc/48931 Log: Update to r44718: Move 4.3.3 Limiting Users to a subsection of 14.13 Resource Limits. Modified: head/de_DE.ISO8859-1/books/handbook/basics/chapter.xml head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/basics/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/basics/chapter.xml Wed Jun 15 15:19:32 2016 (r48930) +++ head/de_DE.ISO8859-1/books/handbook/basics/chapter.xml Wed Jun 15 18:15:07 2016 (r48931) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde$ - basiert auf: r44695 + basiert auf: r44718 --> Grundlagen des UNIX Betriebssystems @@ -1017,329 +1017,6 @@ passwd: done - - Benutzer einschränken - - Benutzer einschränken - - Accounts - einschränken - - - &os; bietet dem Systemadministrator mehrere - Möglichkeiten die System-Ressourcen, die ein einzelner - Benutzer verwenden kann, einzuschränken. Diese Limitierungen - sind in zwei Kategorien eingeteilt: Festplattenkontingente und - andere Ressourcenbeschränkungen. - - Quotas - - Benutzer einschränken - Quotas - - Festplatten Quotas - - Festplatten-Kontingente schränken den Plattenplatz, der - einem Benutzer zur Verfügung steht, ein. Sie bieten zudem, - ohne aufwändige Berechnung, einen schnellen Überblick - über den verbrauchten Plattenplatz. Kontingente werden im - diskutiert. - - Die anderen Ressourcenbeschränkungen umfassen die - Begrenzung von CPU, Speicher und weitere Ressourcen, die ein - Benutzer verbrauchen kann. - - - /etc/login.conf - - - Login-Klassen werden in - /etc/login.conf und sind in - &man.login.conf.5; im Detail beschrieben.n. Jeder Benutzer - wird einer Login-Klasse zugewiesen (standardmäßig - default) und jede Login-Klasse ist mit - einem Satz von Login-Fähigkeiten verbunden. Eine - Login-Fähigkeit ist ein - Name=Wert - Paar, in dem Name die Fähigkeit - bezeichnet und Wert ein beliebiger - Text ist, der in Abhänigkeit von - Name entsprechend verarbeitet wird. - Login-Klassen und -Fähigkeiten zu definieren ist ziemlich - einfach und wird auch in &man.login.conf.5; - beschrieben. - - - &os; liest die Konfiguration aus - /etc/login.conf normalerweise nicht - direkt, sondern nur über die Datenbank - /etc/login.conf.db, da diese eine - schnellere Abfrage erlaubt. Wenn - /etc/login.conf verändert wurde, muss - die /etc/login.conf.db mit dem - folgenden Kommando aktualisiert werden: - - &prompt.root; cap_mkdb /etc/login.conf - - - Ressourcenbeschränkungen unterscheiden sich von normalen - Login-Fähigkeiten zweifach. Erstens gibt es für jede - Beschränkung ein aktuelles und ein maximales Limit. Das - aktuelle Limit kann vom Benutzer oder einer Anwendung beliebig - bis zum maximalen Limit verändert werden. Letzteres kann - der Benutzer nur heruntersetzen. Zweitens gelten die meisten - Ressourcenbeschränkungen für jeden vom Benutzer gestarteten - Prozess, nicht für den Benutzer selbst. Beachten Sie jedoch, - dass diese Unterschiede durch das spezifische Einlesen der - Limits und nicht durch das System der Login-Fähigkeiten - entstehen (das heißt, Ressourcenbeschränkungen sind - keine Login-Fähigkeiten). - - Hier befinden sich die am häufigsten benutzten - Ressourcenbeschränkungen. Der Rest kann zusammen mit den - anderen Login-Fähigkeiten in &man.login.conf.5; gefunden - werden: - - - - coredumpsize - - - coredumpsize - - Benutzer einschränken - coredumpsize - - - Das Limit der Größe einer core-Datei, die von einem - Programm generiert wird, unterliegt aus offensichtlichen - Gründen anderen Limits der Festplattenbenutzung, zum - Beispiel filesize oder - Festplattenkontingenten. Es wird aber trotzdem oft als - weniger harte Methode zur Kontrolle des - Festplattenplatz-Verbrauchs verwendet: Da Benutzer die - core-Dateien nicht selbst erstellen und sie oft nicht - löschen, kann sie diese Option davor retten, dass kein - Festplattenspeicher mehr zur Verfügung steht, sollte ein - großes Programm abstürzen. - - - - - cputime - - - cputime - - Benutzer einschränken - cputime - - - Die maximale Rechenzeit, die ein Prozess eines - Benutzers verbrauchen darf. Überschreitet der Prozess - diesen Wert, wird er vom Kernel beendet. - - - Die Rechenzeit wird - limitiert, nicht die prozentuale Prozessorenbenutzung, - wie es in einigen Feldern in &man.top.1; und - &man.ps.1; dargestellt wird. - - - - - - filesize - - - filesize - - Benutzer einschränken - filesize - - - Hiermit lässt sich die maximale Größe einer Datei - bestimmen, die der Benutzer besitzen darf. Im Gegensatz - zu Festplattenkontingenten - ist diese Beschränkung nur für jede einzelne Datei - gültig und nicht für den Platz, den alle Dateien eines - Benutzers verwenden. - - - - - maxproc - - - maxproc - - Benutzer einschränken - maxproc - - - Das ist die maximale Anzahl von Prozessen, die ein - Benutzer starten darf, und beinhaltet sowohl - Vordergrund- als auch Hintergrundprozesse. Natürlich - darf dieser Wert nicht höher sein als das System-Limit, - das in kern.maxproc angegeben ist. - Vergessen Sie auch nicht, dass ein zu kleiner Wert den - Benutzer in seiner Produktivität einschränken könnte; es - ist oft nützlich, mehrfach eingeloggt zu sein, oder - Pipelines - - Pipeline = - Leitung. - Mit Pipes sind - Verbindungen zwischen zwei Sockets in meistens - zwei verschiedenen Prozessen gemeint. - - zu verwenden. Ein paar Aufgaben, wie die Kompilierung - eines großen Programms, starten mehrere Prozesse. - - - - - memorylocked - - - memorylocked - - Benutzer einschränken - memorylocked - - - Dieses Limit gibt an, wie viel virtueller Speicher - von einem Prozess maximal im Arbeitsspeicher festgesetzt - werden kann (siehe auch &man.mlock.2;). Ein paar - systemkritische Programme, wie &man.amd.8;, verhindern - damit einen Systemzusammenbruch, der auftreten könnte, - wenn sie aus dem Speicher genommen werden. - - - - - memoryuse - - - memoryuse - - Benutzer einschränken - memoryuse - - - Bezeichnet den maximalen Speicher, den ein Prozess - benutzen darf und beinhaltet sowohl Arbeitsspeicher-, - als auch Swap- Benutzung. Es ist kein allübergreifendes - Limit für den Speicherverbrauch, aber ein guter - Anfang. - - - - - openfiles - - - openfiles - - Benutzer einschränken - openfiles - - - Mit diesem Limit lässt sich die maximale Anzahl - der von einem Prozess des Benutzers geöffneten Dateien - festlegen. In &os; werden Dateien auch verwendet, um - Sockets und IPC-Kanäle - - IPC steht für - Interprocess - Communication. - - darzustellen. Setzen Sie es deshalb nicht zu niedrig. - Das System-Limit ist im kern.maxfiles - &man.sysctl.8; definiert. - - - - - sbsize - - - sbsize - - Benutzer einschränken - sbsize - - - Dieses Limit beschränkt den Netzwerk-Speicher und - damit die mbufs, die ein Benutzer verbrauchen darf. Es - stammt aus einer Antwort auf einen DoS-Angriff, bei dem - viele Netzwerk-Sockets geöffnet wurden, kann aber - generell dazu benutzt werden Netzwerk-Verbindungen zu - beschränken. - - - - - stacksize - - - Das ist die maximale Größe, auf die der Stack eines - Prozesses heranwachsen darf. Das allein ist natürlich - nicht genug, um den Speicher zu beschränken, den ein - Programm verwenden darf. Es sollte deshalb in - Verbindung mit anderen Limits gesetzt werden. - - - - - Beim Setzen von Ressourcenbeschränkungen sind noch andere - Dinge zu beachten. Nachfolgend ein paar generelle Tipps, - Empfehlungen und verschiedene Kommentare. - - - - Von /etc/rc beim Hochfahren des - Systems gestartete Prozesse werden der - daemon Login-Klasse zugewiesen. - - - - Obwohl das mitgelieferte - /etc/login.conf eine Quelle von - vernünftigen Limits darstellt, können nur Sie, der - Administrator, wissen, was für Ihr System angebracht ist. - Ein Limit zu hoch anzusetzen könnte Ihr System für - Missbrauch öffnen, und ein zu niedriges Limit der - Produktivität einen Riegel vorschieben. - - - - Benutzer des &xorg; sollten - wahrscheinlich mehr Ressourcen zugeteilt bekommen als - andere Benutzer. &xorg; - beansprucht selbst schon eine Menge Ressourcen, verleitet - die Benutzer aber auch, mehrere Programme gleichzeitig - laufen zu lassen. - - - - Bedenken Sie, dass viele Limits für einzelne Prozesse - gelten und nicht für den Benutzer selbst. Setzt man zum - Beispiel openfiles auf 50, kann jeder - Prozess des Benutzers bis zu 50 Dateien öffnen. Dadurch - ist die maximale Anzahl von Dateien, die von einem - Benutzer geöffnet werden können, - openfiles mal - maxproc. Das gilt auch für den - Speicherverbrauch. - - - - Weitere Informationen über Ressourcenbeschränkungen, - Login-Klassen und -Fähigkeiten finden Sie in &man.cap.mkdb.1;, - &man.getrlimit.2; und &man.login.conf.5;. - - Gruppen Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Wed Jun 15 15:19:32 2016 (r48930) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Wed Jun 15 18:15:07 2016 (r48931) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44630 + basiert auf: r44718 --> Sicherheit @@ -103,8 +103,9 @@ - Wissen, wie Sie die Ressourcen-Datenbank benutzt, um die - Ressourcen für Benutzer zu steuern. + Wissen, wie Sie Login-Klassen oder die + Ressourcen-Datenbank benutzen, um die Ressourcen für + Benutzer zu steuern. @@ -3791,6 +3792,332 @@ UWWemqWuz3lAZuORQ9KX Ressourcen über die Kommandozeile oder über eine Konfigurationsdatei zu steuern. + In diesem Abschnitt werden beide Methoden + vorgestellt. + + + Login-Klassen + + Benutzer einschränken + + Accounts + einschränken + + + &os; bietet dem Systemadministrator mehrere + Möglichkeiten die System-Ressourcen, die ein einzelner + Benutzer verwenden kann, einzuschränken. Diese Limitierungen + sind in zwei Kategorien eingeteilt: Festplattenkontingente und + andere Ressourcenbeschränkungen. + + Quotas + + Benutzer einschränken + Quotas + + Festplatten Quotas + + Festplatten-Kontingente schränken den Plattenplatz, der + einem Benutzer zur Verfügung steht, ein. Sie bieten zudem, + ohne aufwändige Berechnung, einen schnellen Überblick + über den verbrauchten Plattenplatz. Kontingente werden im + diskutiert. + + Die anderen Ressourcenbeschränkungen umfassen die + Begrenzung von CPU, Speicher und weitere Ressourcen, die ein + Benutzer verbrauchen kann. + + + /etc/login.conf + + + Login-Klassen werden in + /etc/login.conf und sind in + &man.login.conf.5; im Detail beschrieben.n. Jeder Benutzer + wird einer Login-Klasse zugewiesen (standardmäßig + default) und jede Login-Klasse ist mit + einem Satz von Login-Fähigkeiten verbunden. Eine + Login-Fähigkeit ist ein + Name=Wert + Paar, in dem Name die Fähigkeit + bezeichnet und Wert ein beliebiger + Text ist, der in Abhänigkeit von + Name entsprechend verarbeitet wird. + Login-Klassen und -Fähigkeiten zu definieren ist ziemlich + einfach und wird auch in &man.login.conf.5; + beschrieben. + + + &os; liest die Konfiguration aus + /etc/login.conf normalerweise nicht + direkt, sondern nur über die Datenbank + /etc/login.conf.db, da diese eine + schnellere Abfrage erlaubt. Wenn + /etc/login.conf verändert wurde, muss + die /etc/login.conf.db mit dem + folgenden Kommando aktualisiert werden: + + &prompt.root; cap_mkdb /etc/login.conf + + + Ressourcenbeschränkungen unterscheiden sich von normalen + Login-Fähigkeiten zweifach. Erstens gibt es für jede + Beschränkung ein aktuelles und ein maximales Limit. Das + aktuelle Limit kann vom Benutzer oder einer Anwendung beliebig + bis zum maximalen Limit verändert werden. Letzteres kann + der Benutzer nur heruntersetzen. Zweitens gelten die meisten + Ressourcenbeschränkungen für jeden vom Benutzer gestarteten + Prozess, nicht für den Benutzer selbst. Beachten Sie jedoch, + dass diese Unterschiede durch das spezifische Einlesen der + Limits und nicht durch das System der Login-Fähigkeiten + entstehen (das heißt, Ressourcenbeschränkungen sind + keine Login-Fähigkeiten). + + Hier befinden sich die am häufigsten benutzten + Ressourcenbeschränkungen. Der Rest kann zusammen mit den + anderen Login-Fähigkeiten in &man.login.conf.5; gefunden + werden: + + + + coredumpsize + + + coredumpsize + + Benutzer einschränken + coredumpsize + + + Das Limit der Größe einer core-Datei, die von einem + Programm generiert wird, unterliegt aus offensichtlichen + Gründen anderen Limits der Festplattenbenutzung, zum + Beispiel filesize oder + Festplattenkontingenten. Es wird aber trotzdem oft als + weniger harte Methode zur Kontrolle des + Festplattenplatz-Verbrauchs verwendet: Da Benutzer die + core-Dateien nicht selbst erstellen und sie oft nicht + löschen, kann sie diese Option davor retten, dass kein + Festplattenspeicher mehr zur Verfügung steht, sollte ein + großes Programm abstürzen. + + + + + cputime + + + cputime + + Benutzer einschränken + cputime + + + Die maximale Rechenzeit, die ein Prozess eines + Benutzers verbrauchen darf. Überschreitet der Prozess + diesen Wert, wird er vom Kernel beendet. + + + Die Rechenzeit wird + limitiert, nicht die prozentuale Prozessorenbenutzung, + wie es in einigen Feldern in &man.top.1; und + &man.ps.1; dargestellt wird. + + + + + + filesize + + + filesize + + Benutzer einschränken + filesize + + + Hiermit lässt sich die maximale Größe einer Datei + bestimmen, die der Benutzer besitzen darf. Im Gegensatz + zu Festplattenkontingenten + ist diese Beschränkung nur für jede einzelne Datei + gültig und nicht für den Platz, den alle Dateien eines + Benutzers verwenden. + + + + + maxproc + + + maxproc + + Benutzer einschränken + maxproc + + + Das ist die maximale Anzahl von Prozessen, die ein + Benutzer starten darf, und beinhaltet sowohl + Vordergrund- als auch Hintergrundprozesse. Natürlich + darf dieser Wert nicht höher sein als das System-Limit, + das in kern.maxproc angegeben ist. + Vergessen Sie auch nicht, dass ein zu kleiner Wert den + Benutzer in seiner Produktivität einschränken könnte; es + ist oft nützlich, mehrfach eingeloggt zu sein, oder + Pipelines + + Pipeline = + Leitung. + Mit Pipes sind + Verbindungen zwischen zwei Sockets in meistens + zwei verschiedenen Prozessen gemeint. + + zu verwenden. Ein paar Aufgaben, wie die Kompilierung + eines großen Programms, starten mehrere Prozesse. + + + + + memorylocked + + + memorylocked + + Benutzer einschränken + memorylocked + + + Dieses Limit gibt an, wie viel virtueller Speicher + von einem Prozess maximal im Arbeitsspeicher festgesetzt + werden kann (siehe auch &man.mlock.2;). Ein paar + systemkritische Programme, wie &man.amd.8;, verhindern + damit einen Systemzusammenbruch, der auftreten könnte, + wenn sie aus dem Speicher genommen werden. + + + + + memoryuse + + + memoryuse + + Benutzer einschränken + memoryuse + + + Bezeichnet den maximalen Speicher, den ein Prozess + benutzen darf und beinhaltet sowohl Arbeitsspeicher-, + als auch Swap- Benutzung. Es ist kein allübergreifendes + Limit für den Speicherverbrauch, aber ein guter + Anfang. + + + + + openfiles + + + openfiles + + Benutzer einschränken + openfiles + + + Mit diesem Limit lässt sich die maximale Anzahl + der von einem Prozess des Benutzers geöffneten Dateien + festlegen. In &os; werden Dateien auch verwendet, um + Sockets und IPC-Kanäle + + IPC steht für + Interprocess + Communication. + + darzustellen. Setzen Sie es deshalb nicht zu niedrig. + Das System-Limit ist im kern.maxfiles + &man.sysctl.8; definiert. + + + + + sbsize + + + sbsize + + Benutzer einschränken + sbsize + + + Dieses Limit beschränkt den Netzwerk-Speicher und + damit die mbufs, die ein Benutzer verbrauchen darf. Es + stammt aus einer Antwort auf einen DoS-Angriff, bei dem + viele Netzwerk-Sockets geöffnet wurden, kann aber + generell dazu benutzt werden Netzwerk-Verbindungen zu + beschränken. + + + + + stacksize + + + Das ist die maximale Größe, auf die der Stack eines + Prozesses heranwachsen darf. Das allein ist natürlich + nicht genug, um den Speicher zu beschränken, den ein + Programm verwenden darf. Es sollte deshalb in + Verbindung mit anderen Limits gesetzt werden. + + + + + Beim Setzen von Ressourcenbeschränkungen sind noch andere + Dinge zu beachten. Nachfolgend ein paar generelle Tipps, + Empfehlungen und verschiedene Kommentare. + + + + Von /etc/rc beim Hochfahren des + Systems gestartete Prozesse werden der + daemon Login-Klasse zugewiesen. + + + + Obwohl das mitgelieferte + /etc/login.conf eine Quelle von + vernünftigen Limits darstellt, können nur Sie, der + Administrator, wissen, was für Ihr System angebracht ist. + Ein Limit zu hoch anzusetzen könnte Ihr System für + Missbrauch öffnen, und ein zu niedriges Limit der + Produktivität einen Riegel vorschieben. + + + + Benutzer von &xorg; sollten + wahrscheinlich mehr Ressourcen zugeteilt bekommen als + andere Benutzer. &xorg; + beansprucht selbst schon eine Menge Ressourcen, verleitet + die Benutzer aber auch, mehrere Programme gleichzeitig + laufen zu lassen. + + + + Bedenken Sie, dass viele Limits für einzelne Prozesse + gelten und nicht für den Benutzer selbst. Setzt man zum + Beispiel openfiles auf 50, kann jeder + Prozess des Benutzers bis zu 50 Dateien öffnen. Dadurch + ist die maximale Anzahl von Dateien, die von einem + Benutzer geöffnet werden können, + openfiles mal + maxproc. Das gilt auch für den + Speicherverbrauch. + + + + Weitere Informationen über Ressourcenbeschränkungen, + Login-Klassen und -Fähigkeiten finden Sie in &man.cap.mkdb.1;, + &man.getrlimit.2; und &man.login.conf.5;. + + Einschränkung von Ressourcen aktivieren und konfigurieren