ローカルリソースへのアクセス 制限

原則として、フィルタルールはルール番号を指定しないとき、上位行から順番 に評価され、最初にマッチしたルールに対して処理が行われます。 

フィルタルールを記述したファイルが作成できたならば、/etc/rc.conf へ次の 2 行を追記します。 

firewall̲enable="YES" 

firewall̲type="/etc/ipfw.rules" 

システムを再起動するとフィルタルール ipfw.rules が有効になります。 

3.3.6 ローカルリソースへのアクセス

#find/¥(‑perm‑4000‑and‑userroot¥)‑execls‑adl{}¥; 

‑r‑sr‑xr‑x4rootwheel19520Oct921:46/usr/bin/at 

‑r‑sr‑xr‑x4rootwheel19520Oct921:46/usr/bin/atq 

‑r‑sr‑xr‑x4rootwheel19520Oct921:46/usr/bin/atrm 

‑r‑sr‑xr‑x4rootwheel19520Oct921:46/usr/bin/batch 

‑r‑sr‑xr‑x6rootwheel32628Oct921:46/usr/bin/chpass 

‑r‑sr‑xr‑x6rootwheel32628Oct921:46/usr/bin/chfn 

‑r‑sr‑xr‑x6rootwheel32628Oct921:46/usr/bin/chsh 

‑r‑sr‑xr‑x6rootwheel32628Oct921:46/usr/bin/ypchpass 

‑r‑sr‑xr‑x6rootwheel32628Oct921:46/usr/bin/ypchfn 

‑r‑sr‑xr‑x6rootwheel32628Oct921:46/usr/bin/ypchsh 

‑r‑sr‑xr‑x1rootwheel3648Oct921:46/usr/bin/keyinfo 

‑r‑sr‑xr‑x1rootwheel7412Oct921:46/usr/bin/keyinit 

‑r‑sr‑xr‑x1rootwheel7168Oct921:46/usr/bin/lock  ... 

(省略)   

ただし、検索されたファイルのうち、自ホストに必要なものか否か判断できな いときは、suid ビットを解除しないようにしてください。 

(2)ユーザに対する制限   

ユーザ毎に利用できるディスク容量を制限することができます。 

quotas を 使 っ て 利 用 で き る デ ィ ス ク 容 量 を 制 限 す る こ と が で き ま す 。 FreeBSD4.7‑RELEASE では、カーネルを再構築しなくても quotas が利用できます。 

/etc/rc.conf へ次の 1 行を追加します。 

enable̲quotas="YES" 

次に、/etc/fstab を修正します。 

例えば、/usr について容量制限を設定する場合、Options 項に usrquota を追記 します。 

#Seethefstab(5)manualpageforimportantinformationonautomaticmounts 

#ofnetworkfilesystemsbeforemodifyingthisfile. 

# 

#DeviceMountpointFStypeOptiaonsDumpPass# 

/dev/ad0s1bnoneswapsw00  /dev/ad0s1a/ufsrw11  /dev/ad0s1f/tmpufsrw22 

/dev/ad0s1g/usrufsrw,userquota22  /dev/ad0s1e/varufsrw22 

/dev/acd0c/cdromcd9660ro,noauto00  proc/procprocfsrw00 

システムを再起動し quotas を有効にします。 

そして、root で各ユーザが利用できるディスク容量を設定します。設定の仕方 は次の Web ページを参照してください。 

http://www.freebsd.org/doc/ja̲JP.eucJP/books/handbook/quotas.html   

ユーザが利用できるコアメモリ容量などを制限することができます。 

ユーザが limits コマンドを実行すると、割り当てられるリソースを確認するこ とができます。 

デフォルトでは CPU 使用制限やコアメモリ使用量が無制限になっています。 

$/usr/bin/limits 

Resourcelimits(current): 

cputimeinfinitysecs  filesizeinfinitykb  datasize524288kb  stacksize65536kb 

coredumpsizeinfinitykb  memoryuseinfinitykb  memorylockedinfinitykb  maxprocesses1357 

openfiles2714 

sbsizeinfinitybytes  vmemoryuseinfinitykb   

このデフォルト値を変更したいときは、/etc/login.conf を修正します。 

例えば、一般ユーザのコアメモリ使用量の最大値を 128M に制限したい場合、

/etc/login.conf の default エントリにある 

:memoryuse=unlimited:¥を:memoryuse=128m:¥へ修正します。 

coedumpsize コアダンプサイズの最大値制限  cputime CPU 使用制限 

datasize データサイズの最大値制限  filesize ファイルサイズの最大値制限  maxproc プロセス数の最大値制限 

memorylocked コアメモリロック可能量の最大値制限  memoryuse コアメモリ使用量の最大値制限 

openfiles  プロセスごとにオープンできるファイル数の最大値 制限 

sbsize 最大のソケットバッファサイズ  vmemoryuse プロセスあたりの最大総 VM 使用量  stacksize スタックサイズの最大値制限