From owner-svn-doc-all@freebsd.org Fri Jun 17 17:01:39 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 205E7A78394; Fri, 17 Jun 2016 17:01:39 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id DD8272299; Fri, 17 Jun 2016 17:01:38 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u5HH1cu1091656; Fri, 17 Jun 2016 17:01:38 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u5HH1cHU091655; Fri, 17 Jun 2016 17:01:38 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201606171701.u5HH1cHU091655@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Fri, 17 Jun 2016 17:01:38 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48938 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 17 Jun 2016 17:01:39 -0000 Author: bhd Date: Fri Jun 17 17:01:37 2016 New Revision: 48938 URL: https://svnweb.freebsd.org/changeset/doc/48938 Log: Update to r44719: Editorial review of Login Classes section. Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Fri Jun 17 16:39:18 2016 (r48937) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Fri Jun 17 17:01:37 2016 (r48938) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44718 + basiert auf: r44719 --> Sicherheit @@ -3768,94 +3768,73 @@ UWWemqWuz3lAZuORQ9KX Ressourcen einschränken - &os; benutzt die Datenbank - /etc/login.conf um Ressourcen zu - beschränken. Obwohl dies immer noch unterstützt wird, ist es - nicht die optimale Methode um die Beschränkung von Ressourcen zu - steuern, da Benutzer in verschiedene Gruppen (Login-Klassen) - aufgeteilt werden müssen und bei Änderungen immer die Datei und - die Passwortdatenbank bearbeitet werden muss. Möglicherweise - benötigt ein eingeschränkter Benutzer eine zusätzliche Klasse, - dann müsste die Datenbank mit cap_mkdb neu - gebaut werden und /etc/master.passwd müsste - ebenfalls bearbeitet werden. Zusätzlich müsste die - Passwortdatenbank mit pwd_mkdb neu gebaut - werden. Dieser Prozess kann sehr zeitaufwendig sein, abhängig - davon, wie viele Benutzer bearbeitet werden müssen. - - Beginnend mit &os; 9.0-RELEASE können mit &man.rctl.8; - Ressourcen für Benutzer sehr detailliert gesteuert werden. - Dieser Befehl unterstützt nicht nur die Kontrolle der Ressourcen - für Benutzer, sondern auch die Beschränkung auf Prozesse, Jails - und den ursprünglichen Login-Klassen. Diese erweiterten - Funktionen bieten Administratoren und Benutzern die Möglichkeit, - Ressourcen über die Kommandozeile oder über eine - Konfigurationsdatei zu steuern. + &os; bietet dem Systemadministrator mehrere + Möglichkeiten die System-Ressourcen, die ein einzelner + Benutzer verwenden kann, einzuschränken. + Festplatten-Kontingente schränken den Plattenplatz, der + einem Benutzer zur Verfügung steht, ein. Kontingente werden + im diskutiert. + + Quotas + + Benutzer einschränken + Quotas + + + Einschränkungen auf andere Ressourcen, wie + CPU und Speicher, können über eine + Konfigurationsdatei oder über die Kommandozeile konfiguriert + werden. Traditionell werden Login-Klassen in + /etc/login.conf definiert. Obwohl diese + Methode immer noch untersützt wird, muss nach jeder Änderung + an dieser Datei die Ressourcen-Datenbank neu gebaut werden. + Zudem müssen Sie die notwendigen Änderungen in + /etc/master.passwd vornehmen und die + Passwort-Datenbnak neu bauen. Dieser Prozess kann, abhängig + davon, wie viele Benutzer bearbeitet werden müssen, sehr + zeitaufwändig sein. + + Beginnend mit &os; 9.0-RELEASE können mit + rctl Ressourcen für Benutzer sehr + detailliert gesteuert werden. Dieser Befehl unterstützt nicht + nur die Kontrolle der Ressourcen für Benutzer, sondern auch die + Beschränkung auf Prozesse und Jails. In diesem Abschnitt werden beide Methoden - vorgestellt. + vorgestellt. Angefangen wird mit der traditionellen + Methode. - Login-Klassen + Login-Klassen konfigurieren Benutzer einschränken Accounts einschränken - - &os; bietet dem Systemadministrator mehrere - Möglichkeiten die System-Ressourcen, die ein einzelner - Benutzer verwenden kann, einzuschränken. Diese Limitierungen - sind in zwei Kategorien eingeteilt: Festplattenkontingente und - andere Ressourcenbeschränkungen. - - Quotas - - Benutzer einschränken - Quotas - - Festplatten Quotas - - Festplatten-Kontingente schränken den Plattenplatz, der - einem Benutzer zur Verfügung steht, ein. Sie bieten zudem, - ohne aufwändige Berechnung, einen schnellen Überblick - über den verbrauchten Plattenplatz. Kontingente werden im - diskutiert. - - Die anderen Ressourcenbeschränkungen umfassen die - Begrenzung von CPU, Speicher und weitere Ressourcen, die ein - Benutzer verbrauchen kann. - /etc/login.conf - Login-Klassen werden in - /etc/login.conf und sind in - &man.login.conf.5; im Detail beschrieben.n. Jeder Benutzer - wird einer Login-Klasse zugewiesen (standardmäßig - default) und jede Login-Klasse ist mit - einem Satz von Login-Fähigkeiten verbunden. Eine - Login-Fähigkeit ist ein + Bei der traditionellen Methode werden Login-Klassen und + Ressourcenbeschränkungen in + /etc/login.conf definiert. Jeder + Benutzer kann einer Login-Klasse zugewiesen werden + (standardmäßig default) und jede + Login-Klasse ist mit einem Satz von Login-Fähigkeiten + verbunden. Eine Login-Fähigkeit ist ein Name=Wert Paar, in dem Name die Fähigkeit bezeichnet und Wert ein beliebiger Text ist, der in Abhänigkeit von - Name entsprechend verarbeitet wird. - Login-Klassen und -Fähigkeiten zu definieren ist ziemlich - einfach und wird auch in &man.login.conf.5; - beschrieben. + Name entsprechend verarbeitet + wird. - &os; liest die Konfiguration aus - /etc/login.conf normalerweise nicht - direkt, sondern nur über die Datenbank - /etc/login.conf.db, da diese eine - schnellere Abfrage erlaubt. Wenn - /etc/login.conf verändert wurde, muss - die /etc/login.conf.db mit dem - folgenden Kommando aktualisiert werden: + Immer wenn /etc/login.conf + verändert wurde, muss die + /etc/login.conf.db mit dem folgenden + Kommando aktualisiert werden: &prompt.root; cap_mkdb /etc/login.conf @@ -3867,212 +3846,168 @@ UWWemqWuz3lAZuORQ9KX bis zum maximalen Limit verändert werden. Letzteres kann der Benutzer nur heruntersetzen. Zweitens gelten die meisten Ressourcenbeschränkungen für jeden vom Benutzer gestarteten - Prozess, nicht für den Benutzer selbst. Beachten Sie jedoch, - dass diese Unterschiede durch das spezifische Einlesen der - Limits und nicht durch das System der Login-Fähigkeiten - entstehen (das heißt, Ressourcenbeschränkungen sind - keine Login-Fähigkeiten). - - Hier befinden sich die am häufigsten benutzten - Ressourcenbeschränkungen. Der Rest kann zusammen mit den - anderen Login-Fähigkeiten in &man.login.conf.5; gefunden - werden: - - - - coredumpsize - - - coredumpsize - - Benutzer einschränken - coredumpsize - - - Das Limit der Größe einer core-Datei, die von einem - Programm generiert wird, unterliegt aus offensichtlichen - Gründen anderen Limits der Festplattenbenutzung, zum - Beispiel filesize oder - Festplattenkontingenten. Es wird aber trotzdem oft als - weniger harte Methode zur Kontrolle des - Festplattenplatz-Verbrauchs verwendet: Da Benutzer die - core-Dateien nicht selbst erstellen und sie oft nicht - löschen, kann sie diese Option davor retten, dass kein - Festplattenspeicher mehr zur Verfügung steht, sollte ein - großes Programm abstürzen. - - + Prozess. - - cputime + listet die + gebräuchlichen Ressourcenbeschränkungen auf. Alle verfügbaren + Ressourcenbeschränkungen und Fähigkeiten sind im Detail in + &man.login.conf.5; beschrieben. - - cputime - - Benutzer einschränken - cputime - - - Die maximale Rechenzeit, die ein Prozess eines - Benutzers verbrauchen darf. Überschreitet der Prozess - diesen Wert, wird er vom Kernel beendet. - - - Die Rechenzeit wird - limitiert, nicht die prozentuale Prozessorenbenutzung, - wie es in einigen Feldern in &man.top.1; und - &man.ps.1; dargestellt wird. - - - - - - filesize - - - filesize - - Benutzer einschränken - filesize - - - Hiermit lässt sich die maximale Größe einer Datei - bestimmen, die der Benutzer besitzen darf. Im Gegensatz - zu Festplattenkontingenten - ist diese Beschränkung nur für jede einzelne Datei - gültig und nicht für den Platz, den alle Dateien eines - Benutzers verwenden. - - - - - maxproc - - - maxproc - - Benutzer einschränken - maxproc - - - Das ist die maximale Anzahl von Prozessen, die ein - Benutzer starten darf, und beinhaltet sowohl - Vordergrund- als auch Hintergrundprozesse. Natürlich - darf dieser Wert nicht höher sein als das System-Limit, - das in kern.maxproc angegeben ist. - Vergessen Sie auch nicht, dass ein zu kleiner Wert den - Benutzer in seiner Produktivität einschränken könnte; es - ist oft nützlich, mehrfach eingeloggt zu sein, oder - Pipelines - - Pipeline = - Leitung. - Mit Pipes sind - Verbindungen zwischen zwei Sockets in meistens - zwei verschiedenen Prozessen gemeint. - - zu verwenden. Ein paar Aufgaben, wie die Kompilierung - eines großen Programms, starten mehrere Prozesse. - - - - - memorylocked - - - memorylocked - - Benutzer einschränken - memorylocked - - - Dieses Limit gibt an, wie viel virtueller Speicher - von einem Prozess maximal im Arbeitsspeicher festgesetzt - werden kann (siehe auch &man.mlock.2;). Ein paar - systemkritische Programme, wie &man.amd.8;, verhindern - damit einen Systemzusammenbruch, der auftreten könnte, - wenn sie aus dem Speicher genommen werden. - - - - - memoryuse - - - memoryuse - - Benutzer einschränken - memoryuse - - - Bezeichnet den maximalen Speicher, den ein Prozess - benutzen darf und beinhaltet sowohl Arbeitsspeicher-, - als auch Swap- Benutzung. Es ist kein allübergreifendes - Limit für den Speicherverbrauch, aber ein guter - Anfang. - - - - - openfiles - - - openfiles - - Benutzer einschränken - openfiles - - - Mit diesem Limit lässt sich die maximale Anzahl - der von einem Prozess des Benutzers geöffneten Dateien - festlegen. In &os; werden Dateien auch verwendet, um - Sockets und IPC-Kanäle - - IPC steht für - Interprocess - Communication. - - darzustellen. Setzen Sie es deshalb nicht zu niedrig. - Das System-Limit ist im kern.maxfiles - &man.sysctl.8; definiert. - - - - - sbsize - - - sbsize - - Benutzer einschränken - sbsize - - - Dieses Limit beschränkt den Netzwerk-Speicher und - damit die mbufs, die ein Benutzer verbrauchen darf. Es - stammt aus einer Antwort auf einen DoS-Angriff, bei dem - viele Netzwerk-Sockets geöffnet wurden, kann aber - generell dazu benutzt werden Netzwerk-Verbindungen zu - beschränken. - - + + Benutzer einschränken + coredumpsize + + + Benutzer einschränken + cputime + + + Benutzer einschränken + filesize + + + Benutzer einschränken + maxproc + + + Benutzer einschränken + memorylocked + + + Benutzer einschränken + memoryuse + + + Benutzer einschränken + openfiles + + + Benutzer einschränken + sbsize + + + Benutzer einschränken + stacksize + - - stacksize + + Ressourcenbeschränkungen für Login-Klassen - - Das ist die maximale Größe, auf die der Stack eines - Prozesses heranwachsen darf. Das allein ist natürlich - nicht genug, um den Speicher zu beschränken, den ein - Programm verwenden darf. Es sollte deshalb in - Verbindung mit anderen Limits gesetzt werden. - - - + + + + Ressourcenbeschränkung + Beschreibung + + + + + + coredumpsize + Das Limit der Größe einer core-Datei, die von + einem Programm generiert wird, unterliegt aus + offensichtlichen Gründen anderen Limits der + Festplattenbenutzung, zum Beispiel + filesize oder + Festplattenkontingenten. Es wird oft als weniger + harte Methode zur Kontrolle des + Festplattenplatz-Verbrauchs verwendet. Da Benutzer + die core-Dateien selbst nicht erstellen und sie oft + nicht löschen, kann diese Option davor schützen, dass + kein Festplattenspeicher mehr zur Verfügung steht, + sollte ein großes Programm abstürzen. + + + + cputime + Die maximale Rechenzeit, die ein Prozess eines + Benutzers verbrauchen darf. Überschreitet ein Prozess + diesen Wert, wird er vom Kernel beendet. Beachten + Sie, dass die Rechenzeit + limitiert wird, nicht die prozentuale + Prozessorenbenutzung, wie es in einigen Feldern von + top und ps + dargestellt wird. + + + + filesize + Hiermit lässt sich die maximale Größe einer Datei + bestimmen, die der Benutzer besitzen darf. Im + Gegensatz zu Festplattenkontingenten ist + diese Beschränkung nur für jede einzelne Datei gültig + und nicht für den Platz, den alle Dateien eines + Benutzers verwenden. + + + + maxproc + Das ist die maximale Anzahl von Prozessen, die + ein Benutzer starten darf, und beinhaltet sowohl + Vordergrund- als auch Hintergrundprozesse. Dieser + Wert nicht höher sein als das System-Limit, das in + kern.maxproc angegeben ist. + Vergessen Sie nicht, dass ein zu kleiner Wert den + Benutzer in seiner Produktivität einschränken könnte, + wenn beispielsweise ein großes Programm übersetzt wird + oder viele Prozesse gestartet sind. + + + + memorylocked + Dieses Limit gibt an, wie viel virtueller + Speicher von einem Prozess maximal im Arbeitsspeicher + festgesetzt werden kann (siehe auch &man.mlock.2;). + Ein paar systemkritische Programme, wie &man.amd.8;, + verhindern damit einen Systemzusammenbruch, der + auftreten könnte, wenn sie aus dem Speicher genommen + werden. + + + + memoryuse + Bezeichnet den maximalen Speicher, den ein + Prozess benutzen darf und beinhaltet sowohl + Arbeitsspeicher-, als auch Swap-Benutzung. Es ist + kein allübergreifendes Limit für den + Speicherverbrauch, aber ein guter Anfang. + + + + openfiles + Mit diesem Limit lässt sich die maximale Anzahl + der von einem Prozess des Benutzers geöffneten Dateien + festlegen. In &os; werden Dateien auch verwendet, um + Sockets und >IPC>-Kanäle + darzustellen. Setzen Sie es deshalb nicht zu niedrig. + Das System-Limit ist in + kern.maxfiles definiert. + + + + sbsize + Dieses Limit beschränkt den Netzwerk-Speicher, + den ein Benutzer verbrauchen darf. Es kann generell + dazu benutzt werden Netzwerk-Verbindungen zu + beschränken. + + + + stacksize + Das ist die maximale Größe, auf die der Stack + eines Prozesses heranwachsen darf. Das allein ist + natürlich nicht genug, um den Speicher zu beschränken, + den ein Programm verwenden darf. Es sollte deshalb in + Verbindung mit anderen Limits verwendet + werden. + + + +
Beim Setzen von Ressourcenbeschränkungen sind noch andere - Dinge zu beachten. Nachfolgend ein paar generelle Tipps, - Empfehlungen und verschiedene Kommentare. + Dinge zu beachten: @@ -4082,29 +4017,26 @@ UWWemqWuz3lAZuORQ9KX - Obwohl das mitgelieferte - /etc/login.conf eine Quelle von - vernünftigen Limits darstellt, können nur Sie, der - Administrator, wissen, was für Ihr System angebracht ist. - Ein Limit zu hoch anzusetzen könnte Ihr System für - Missbrauch öffnen, und ein zu niedriges Limit der - Produktivität einen Riegel vorschieben. + Obwohl die voreingestellte + /etc/login.conf sinnvolle Limits + enthält, sind sie evtl. nicht für jedes System geeignet. + Ein zu hohes Limit kann das System für Missbrauch anfällig + machen, und ein zu niedriges Limit kann der Produktivität + schaden. - Benutzer von &xorg; sollten - wahrscheinlich mehr Ressourcen zugeteilt bekommen als - andere Benutzer. &xorg; - beansprucht selbst schon eine Menge Ressourcen, verleitet - die Benutzer aber auch, mehrere Programme gleichzeitig - laufen zu lassen. + &xorg; beansprucht selbst + eine Menge Ressourcen und verleitet die Benutzer dazu, + mehrere Programme gleichzeitig laufen zu lassen. Bedenken Sie, dass viele Limits für einzelne Prozesse gelten und nicht für den Benutzer selbst. Setzt man zum - Beispiel openfiles auf 50, kann jeder - Prozess des Benutzers bis zu 50 Dateien öffnen. Dadurch + Beispiel openfiles auf + 50, kann jeder Prozess des Benutzers + bis zu 50 Dateien öffnen. Dadurch ist die maximale Anzahl von Dateien, die von einem Benutzer geöffnet werden können, openfiles mal