Guia de Aseguramiento Linux SGD07 (App Server Oracle)

GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE

CÓDIGO IGT-09-09

VERSIÓN 1

FECHA 21/02/08PAGINA 1/21

CONTENIDO

PROCEDIMIENTOS DE ASEGURAMIENTO

1. Backup de la configuración

2. Seguridad al encender o reiniciar el servidor

3. Seguridad del Sistema Operativo

4. Administración de contraseñas

5. Integridad de archivos

6. Seguridad en comunicaciones

7. Configuración de los servicios de red

8. Configuración del FINGER

9. Configuración del TFTP

10. Configuración del VS FTP

11. Open SSH

12. Exposición de la información

13. Manejo de logs y registros


CÓDIGO IGT-09-09

VERSIÓN 1


14. Cuotas de disco


CÓDIGO IGT-09-09

VERSIÓN 1


NOMBRE DEL SERVIDOR SGD07 FECHA DEL ASEGURAMIENTO:__23-08-2010___HORA INICIO:______18:32_________HORA FIN:_________19:30__________________

DIRECCIÓN IP INTERNA 172.16.10.30

DIRECCION IP PUBLICA (Si Aplica) N/A

DIRECCION WEB N/A

FUNCIÓN DEL SERVIDOR Application Server de Oracle

RESPONSABLE SERVIDOR Luis Alejandro Vargas

SISTEMA OPERATIVO INSTALADO Redhat Enterprise 5.4

PARCHES APLICADOS AL SERVIDOR Ultima actualización

APLICACIONES ADICIONALES INSTALADAS N/A

Procedimientos de Aseguramiento

Tema: 1. Backup del servidorEjecutada/Exitosa

Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación

SI SI Backup del equipo

Se debe realizar un Backup de los archivos a modificar del equipo por parte de los administradores del mismo.

Realizar un backup de los archivos a modificar del equipo y guardarlo en un lugar seguro


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 2. Seguridad al encender o reiniciar el servidorEjecutada/Exitosa


No NoSolicitud de Clave al iniciar la máquina

En la BIOS de la máquina es necesario asignar una clave que sea solicitada siempre que la máquina se encienda o reinicie. ya que se podría usar un Disquete de inicio de Windows y borrar las particiones , ó se podría intentar hacer lo mismo cn un CD.

Al iniciar la máquina, siga las instrucciones del computador para ingresar a la BIOS

Ubique la opción de asignación de contraseñas

Cambie la contraseña de inicio de la máquina y la de acceso a la BIOS.

No NoRestringir el inicio por Floppy o cdrom

Dado que Linux puede ser reiniciado con un disco de rescate, o con un disco de instalación, es necesario eliminar esta posibilidad para prevenir acceso no autorizados como superusuario

Al iniciar la máquina, siga las instrucciones del computador para ingresar a la BIOS

Ubique la opción que discrimina los dispositivos con que se puede iniciar la máquina y su orden.

Deje esta opción en “Disco C Únicamente” (“C Only”)

SI Si

Deshabilitar la opción de reiniciar la máquina con las teclas ctrl-alt-del

Cualquier usuario puede reiniciar la máquina presionando ctrl-alt-del. Esto es inconveniente.

Editar el archivo /etc/inittabComentar la línea como sigue:

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Reiniciar con el comando init q para reiniciar el demonio.No No Solicitar

clave al pasar parámetros a Lilo

Cualquier usuario puede iniciar la máquina en modo single utilizando el comando “linux single” en el prompt de Lilo, para restringir esto a usuarios de confianza, se debe solicitar una clave que permita hacerlo.

Editar el archivo /etc/lilo.confAñadir las siguientes lineas (antes de la sección de arranque):

RestrictedPassword=”<Digite su clave aqui>”

Reiniciar Lilo


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 2. Seguridad al encender o reiniciar el servidor

/sbin/lilo

Nota: No se aplica este control debido a que el servidor no tiene instalado lilo.

No NoSolicitar clave al pasar parámetros al Grub

Cualquier usuario puede iniciar la máquina en modo single utilizando el comando “linux single” en el prompt de Grub, para restringir esto a usuarios de confianza, se debe solicitar una clave que permita hacerlo.

Para colocar la contraseña al gestor de arranque Grub, se generarun hash a partir de una palabra clave:

grub-md5-crypt Password: *********** Retype Password: ***********# $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5/

Luego edite el archivo de configuración de grub/boot/grub/menu.lst

y luego del segmento “timeout” anexar la líneapassword --md5 $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5

No NoAcceso al archivo /etc/lilo.conf

Cuando se haya terminado de configurar correctamente el lilo, cambiarle los permisos para que quede sólo accesible por root

chmod 700 /etc/lilo.conf

chattr +i /etc/lilo.conf

Nota: No se aplica este control debido a que el servidor no tiene instaldo lilo.


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 2. Seguridad al encender o reiniciar el servidor

No NoAcceso al archivo /etc/grub.conf

Cuando se haya terminado de configurar correctamente el lilo, cambiarle los permisos para que quede sólo accesible por root

chmod 700 /boot/grub/grub.conf

chattr +i /boot/grub/grub.conf

Tema: 3. Seguridad del Sistema OperativoEjecutada/Exitosa


Si SiUbicación de binarios con permisos de setuid

Archivos ejecutables que tienen activado el bit de setuid para tomar temporalmente permisos de root

find / -type f $ -perm -04000 -o -perm -02000 $ > lista.txt

Una vez obtenida la lista de binarios con setuid, cambiar los permisos:

Chmod –s <binario>

SI SiEjecutables solo disponibles para root

Algunos de los programas sólo deben estar disponibles para ejecución por parte del root

chmod 700 /usr/bin/gccchmod 700 /usr/bin/chattrchmod 700 /usr/bin/wchmod 700 /usr/bin/whochmod 700 /usr/bin/lastchmod 700 /usr/bin/lastbchmod 700 /usr/bin/lastlogchmod 700 /bin/chmodchmod 700 /bin/chownchmod 700 /bin/chgrp

chmod 700 /bin/rpmchmod 700 /bin/dmesg

chmod 700 /sbin/ipchainschmod 700 /sbin/iptableschmod 700 /sbin/sysctlchmod 700 /sbin/shutdown


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 3. Seguridad del Sistema Operativochmod 700 /sbin/rebootchmod 700 /sbin/haltchmod 700 /sbin/poweroff

SI Si

Colocar atributo de inmutables a algunos archivos

Algunos de los archivos críticos deben tener el atributo de inmutables para prevenir que éstos sean alterados indiscriminadamente

chattr +i /bin/loginchattr +i /bin/rpmchattr +i /bin/pschattr +i /bin/ls

chattr +i /etc/shadowchattr +i /etc/passwdchattr +i /etc/group

Por supuesto, para agregar una nueva cuenta, deberá quitar el atributo a /etc/passwd, /etc/shadow y /etc/group

Si SIRemover las cuentas de usuario no necesarias

Cuentas existentes en la máquina y que no son utilizadas deben ser eliminadas.

userdel -r uucpuserdel -r operatoruserdel -r ftpuserdel -r gopheruserdel -r gamesuserdel -r news

Si SiEjecución de archivos de arranque de Linux

Estos deben ser restringidos sólo al usuario root

cd /etcchmod 700 rc.d

cd rc.dchmod 700 *

cd init.dchmod 700 *

Si SiEjecución de archivos de cron

Estos deben estar restringidos sólo al root

chmod 700 /etc/cron.hourlychmod 700 /etc/cron.dailychmod 700 /etc/cron.weeklychmod 700 /etc/cron.monthly


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 3. Seguridad del Sistema Operativo

Si Si/var/log solo debe poder ser leído por el root

/var/log contiene todos los archivos de log, y éstos deben tener permisos de lectura sólo para el root

chmod 700 /var/log

chmod 600 /var/log/messageschmod 600 /var/log/dmesgchmod 600 /var/log/boot.logchmod 600 /var/log/lastlogchmod 600 /var/log/rpmpkgs

Si SiRutas de archivo (PATH)

Chequear que “.” No se encuentra en el PATH

echo $PATH

Revisar que “.” No se encuentre en $PATH

Si se encuentra, removerlo.

Si SiAcceso como root al sistema

El sistema no debe permitir el acceso de root de manera remota.

En /etc/securetty puede listar desde donde está permitido realizar login de root. Los nombres son de la siguiente forma:

tty* : localttyp*: remotottyS*: remotovc/* : Consolas Virtuales (alt + F2, alt + F3, ...)

Para restringir, simplemente comente la línea correspondiente

Por ejemplo:

consoletty1tty2#tty3#tty4#tty5#tty6#ttyS0#ttyS


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 3. Seguridad del Sistema Operativo#ttyS2#ttyS3#ttyp0#ttyp1#ttyp2#ttyp3

No NoLimitar permisos y procesos a usuarios

En /etc/security/limits.conf, configurar limites a los procesos y evitar el “core dump”

Editar /etc/security/limits.conf

“grupo” es el grupo de usuarios a quien se les van a aplicar los límites

hard core 0* hard rss 10000@grupo hard data 131072@grupo hard memlock 41926@grupo hard nproc 40@grupo hard maxlogins 2 @grupo hard nofile 20@grupo hard fsize 50000

editar /etc/pam.d/login y añadir la siguiente linea:session required /lib/security/pam_limits.so

Si Si

Restricción de la utilización del comando “su”

Restringir a cierto grupo específico (wheel es recomendado) la utilización del comando su

/bin/chgrp wheel /bin/su /bin/chmod 4750 /bin/su

Añadir la siguiente línea al archivo /etc/pam.d/su

auth required /lib/security/pam_wheel.so use_uid

o


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 3. Seguridad del Sistema Operativo

auth required /lib/security/$ISA/pam_wheel.so use_uid

Añada cualquier otro grupo de usuarios de confianza al grupo wheel.

Si Si Creación de archivos

Asignar los permisos de usuario para la creación de archivos por defecto

Editar el archivo de shell por defecto(si es bash, editar /etc/bashrc, si es cst o tcsh; editar /etc/cshrc) y añadir la siguiente línea:

umask 077

Si SiAñadir Timeout de Sesión

Una sesión inactiva deberá cerrarse automáticamente después de cierto tiempo

Añadir la siguiente línea al archivo /etc/profile:

TMOUT=300

Tema: 4. 1.1.1.3 Administración de ContraseñasEjecutada/Exitosa


SI Si Cambio de Clave

Hacer que los usuarios cambien su clave periódicamente y con longitud minima

Configurar las siguientes líneas en el archivo /etc/login.defs:

PASS_MAX_DAYS 20PASS_WARN_AGE 5

PASS_MIN_LEN 8

Tema: 5. Integridad de ArchivosEjecutada/Exitosa


Si Si Revisión de todos los programas

Cotejar los programas en ejecución contra sus firmas md5 según la base de datos rpm

rpm -Va >> system.txt

En el archivo resultante, las letras iniciales en cada línea


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 5. Integridad de Archivos

instalados

tienen el siguiente significado:

S = Tamaño de archivo cambiadoM = Modo de archivo cambiada5 = la firma md5 es diferenteD = major/minor del dispositivo no concuerdaU = Usuario dueño no concuerdaG = Grupo dueño no concuerdaT = Diferencia de Mactime

Si Si Protección del Crontab

Restringir los usuarios que tienen derecho de utilizar el crontab

touch /etc/cron.allowchmod 600 /etc/cron.allowecho "root" >> /etc/cron.allow

Incluir todos los usuarios que pueden utilizar el crontab.

Tema: 6. Seguridad en ComunicacionesEjecutada/Exitosa


Si Si Protección SYN

Activar la protección contra escaneos de puertos que utilizan la táctica de señalización SYN

echo 1 >/proc/sys/net/ipv4/tcp_syncookies

Si Si Enrutamiento Deshabilitar el enrutamiento de paquetes originados en otros hosts

for f in /proc/sys/net/ipv4/conf/*/accept_source_route; doecho 0 > $fdone

Si Si Filtrado de paquetes

Desconocer todos los paquetes cuya dirección no concuerde con la red de la interface por donde llega y guarde log del evento

for f in /proc/sys/net/ipv4/conf/*/rp_filter; doecho 1 > $fdone

for f in /proc/sys/net/ipv4/conf/*/log_martians; doecho 1 > $fdone


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 6. Seguridad en Comunicaciones

Si Si Broadcast Ping

Deshabilitar la respuesta a peticiones de broadcast ping , sin embargo hágalo en un ambiente de prueba ya que se pueden presentar problemas s i va a usar el servicio WINS.

/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

Si SiPaquetes ICMP Malformados

No responder a paquetes ICMP malformados /sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1

Si Si ICMP Redirect Deshabilitar redirección de ICMP echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirectsecho 0 >/proc/sys/net/ipv4/conf/all/send_redirects

Si Si ICMP Timestamp

Deshabilitar las respuestas a ICM Timestamp echo 0 >/proc/sys/net/ipv4/tcp_timestamps

Si Si Denegación del Servicio

Reducir la susceptibilidad de ataques de denegación del servicio manejando los timeouts

echo 30 >/proc/sys/net/ipv4/tcp_fin_timeoutecho 1800 >/proc/sys/net/ipv4/tcp_keepalive_timeecho 0 >/proc/sys/net/ipv4/tcp_window_scalingecho 0 >/proc/sys/net/ipv4/tcp_sack

Tema: 7. Configuración de los servicios de RedEjecutada/Exitosa


Si Si /etc/services Este archivo debe tener permisos 644 Ejecute el comando “chmod 644 /etc/services”

Si Si /etc/services Este Archivo debe ser propiedad de root Ejecute el comando “chown root /etc/services”

Si Si /etc/services Este archivo debe pertenecer al grupo root Ejecute el comando “chgrp root /etc/services”

Si Si /etc/rc.dSolo deben estar los scripts de arranque de los servicios necesarios para la función que cumple el sistema

Para cada servicio innecesario proceda de la siguiente manera:-Edite el archivos referente al servicio innecesario .-Agregue la linea “Exit 0” al principio del script.-Guarde los cambios

O

Utilizar el comando ntsysv –level 35 o ntsysv –level 3 ( según


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 7. Configuración de los servicios de Redel nivel de arranque por defecto ) y dejar solo . crond networksyslog

Los demás servicios deben ser iniciado por el administrador del sistema.

Se cambiaron

CupsPcmciaSmartdKudzuIsdn

N/A N/A /etc/xinetd.d/Dentro de este directorio se estan ubicados los servicios que se encuentran en ejecución en el servidor.

-Entre como root al directorio /etc/xinetd.d y busque que servicio desea deshabilitar , por ejemplo si desea deshabilitar el servicio echo abra el archivo /etc/xinetd.d/echo

#vi /etc/xinetd.d/echo

# default: off# description: An echo server. This is the tcp \# version.service echo{ disable = yes type = INTERNAL id = echo-stream socket_type = stream protocol = tcp user = root


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 7. Configuración de los servicios de Red wait = no}

Y en la linea donde aparece disable=no , cambiela por disable=yes , luego reinicie xinetd escribiendo el siguiente cmando

#/sbin/service xinetd restart

N/A N/A /etc/xinetd.conf Este archivo debe tener permisos 600 Ejecute el comando “chmod 600 /etc/xinetd.conf”

N/A N/A /etc/xinetd.conf

Este Archivo debe ser propiedad de root Ejecute el comando “chown root /etc/xinetd.conf”

N/A N/A /etc/xinetd.conf

Este archivo debe pertenecer al grupo root Ejecute el comando “chgrp root /etc/xinetd.conf”

Tema: 8. Configuración del FINGEREjecutada/Exitosa


N/A N/A /etc/xinetd.d/finger Verificar la necesidad del servicio.

Si no se requiere el servicio de FINGER, debe ser eliminado según lo explicado en el numeral 1.1.1.6 Configuración de los servicios de red.

N/A N/A Versión del servicio

Verificar que se tiene instalada una versión reciente del servicio.

Descargar una versión reciente que permita controlar problemas conocidos del servicio como el de requerimientos indirectos.

Tema: 9. Configuración del TFTP (Trivial File Transfer Protocol)Ejecutada/Exitosa


N/A N/A /etc/xinetd.d/ Verificar la necesidad del servicioSi no se requiere el servicio de TFTP, debe ser eliminado según lo explicado en el numeral 1.1.1.6 Configuración de los servicios de red.


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 10. Configuración del VS FTP ( File Transfer Protocol)Ejecutada/Exitosa


No No Verificar la necesidad del servicioSi no se requiere el servicio de FTP, debe ser eliminado según lo explicado en el numeral 1.1.1.6 Configuración de los servicios de red.

No No Versión del servicio

Asegurarse de tener una versión actualizada del servicio

rpm -qa | grep vsftpd

No NoDeshabilitar el usuario anónimo

Editar /etc/vsftpd/vsftpd.conf

anonymous_enable=NO

Nota: Tienen instalado FTP pero no el vsftpd, y al parecer no lo usan.

No No Acceso al servicio

Incluir cuentas que tienen acceso al servicio

-Validar la lista de usuarios que deben tener acceso al servicio de ftp.

Editar /etc/vsftpd/vsftpd.conf y ajustar estos parámetros

local_enable=YES

userlist_enable=YES

userlist_file=/etc/vsftpd/user_list

userlist_deny=NO

dentro de user_list se colocan los usuarios que pueden acceder al ftp


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 10. Configuración del VS FTP ( File Transfer Protocol)

No No FTP Enjaulado Los usuarios que acceden vía FTP al sistema deben quedar confinados a su directorio home y no poderse cambiar a ningún otro directorio

Editar /etc/vsftpd/vsftpd.conf y ajustar estos parámetros

chroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list

Dentro de chroot_list colocar los usuarios que tienen soporte a ftp enjaulado ( todos )

No No FTP banner

Se recomienda cambiar el banner del servicio FTP , para evitar que se pueda identificar fácilmente la versión de ftp que esta manejando el servidor.

Cambie en el archivo Vsftpd.conf las siguientes lineas

ftpd_banner=Welcome to blah FTP service.

Luego cree el banner para el servicio FTP Con un contenido similar al siguiente “Este sistema esta siendo monitoreado permanentemente”

Tema: 11. Open SSHEjecutada/Exitosa


Si SiEliminar acceso de root

El acceso de root debe ser eliminado editando el archivo /etc/sshd/sshd_config

Editar archivo /etc/ssh/sshd_config

PermitRootLogin = No

Si SiUtilización del protocolo ssh1

Eliminar el uso del protocolo ssh1 en el archivo /etc/sshd/sshd_config

Editar archivo /etc/ssh/sshd_config

Protocol 2No No Ubicación de

hosts que realizan solicitudes

Configurar la detección de los equipos que realizan peticiones al servidor

Editar archivo /etc/ssh/ssh_config

CheckHostIP = Yes

Nota: No se mantiene archivo de hosts


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 11. Open SSH

Si Si Mensaje de ultima sesión

Deshabilitar el mensaje que muestra la información de última sesión iniciada

Editar /etc/ssh/sshd_config

PrintLastLog = No

Tema: 12. Exposición de InformaciónEjecutada/Exitosa


Si SiInformación de versión de Sistema Operativo

Cambiar la información de /etc/issue y /etc/issue.net

Editar archivos /etc/issue y /etc/issue.net

Reemplazar su contenido

Revisar que estos no sean recreados durante el inicio del sistema, en /etc/rc.d/rc.local

Tema: 13. Manejo de logs y de registrosEjecutada/Exitosa


No No Inmutabilidad en los logs.

Agregar la característica de inmutabilidad a los logs, esto se hace para agregar el permiso de solo añadir a los ficheros de log.

Escriba el siguiente comando con privilegios de root#chattr –RV +i +a /var/log

Si Si Herramientas adicionales para el manejo de logs.

Se han creado herramientas que permite n mejorar la seguridad de los logs , se recomienda probar estas herramientas en una red de prueba

Nsyslogd soporta tcp y SSL para enviar el log a sistemas remotos se puede descargar de: http://coombs.anu.edu.au/~avalon/nsyslog.html

Psionic Logcheck navega por los ficheros de mensajes (y otros) a intervalos regulares (normalmente se invoca vía crontab), y envía un

http://coombs.anu.edu.au/~avalon/nsyslog.html


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 13. Manejo de logs y de registroscorreo con un sumario de cualquier actividad sospechosa que se pueda estar presentando http://www.psionic.com/abacus/logcheck/.

Colorlogs colorea los ficheros de logs, lo cual te permite identificar con facilidad actividad sospechosa. Basado en un fichero de configuración, busca palabras clave y colorea las líneas (en rojo, cyan, etc.), recibe la entrada desde STDIN, de modo que se puede utilizar para revisar ficheros de log rápidamente (utilizando "cat", "tail" u otras utilidades para alimentar el fichero de logs a través del programa). Se puede conseguir en: http://www.resentment.org/projects/colorlogs/.

WOTS recolecta ficheros de logs desde múltiples orígenes, y genera informes o toma medidas basándose en lo que le digas que haga. WOTS busca expresiones regulares que se le definan, y después ejecuta los comandos que le listas (enviar un informe, hacer sonar una alerta, etc.). WOTS requiere que tengas instalado perl, y está disponible en http://www.tony-curtis.cwc.net/tools/

Tema: 14. Cuotas de DiscoEjecutada/Exitosa


http://www.tony-curtis.cwc.net/tools/

http://www.tony-curtis.cwc.net/tools/

http://www.resentment.org/projects/colorlogs/

http://www.psionic.com/abacus/logcheck/


CÓDIGO IGT-09-09

VERSIÓN 1


Tema: 14. Cuotas de Disco

No NoEstablecer cuotas de Disco

Se deben establecer cuotas de Disco para impedir que un usuario en determinadas circunstancias pueda llenar el disco duro del computador o llegar a ocasionar problemas de almacenamiento.

Primeramente se debe decidir que particiones dentro de /etc/fstab se desean tener bajo limite de espacio (cuota). Las palabras clave son: usrquota y grpquota estas dos palabras se especifican en el archivo/etc/fstab de manera que si el archivo contiene

/dev/hda1 / ext2 defaults 1 2/dev/hda5 /home ext2 defaults 1 2

Se deben agregar las palabras:

/dev/hda1 / ext2 defaults,grpquota 1 2/dev/hda5 /home ext2 defaults,usrquota,grpquota 1 2

De esta forma se especifica que sobre las particiones se llevara un limite de uso

Una vez que se realizen estas modificaciones al archivo, se debe modificar el archivo /etc/rc.d/rc.local para que se activen las cuotas bajo las respectivas particiones. Agrege las siguientes lineas

# Revisar la "cuota" y activarla if [ -x /sbin/quotacheck ]; then echo " Revisando Cuotas .... " /sbin/quotacheck -avug echo " Terminado " fiif [ -x /sbin/quotaon ]; then echo " Activando Cuotas ... " /sbin/quotaon -avug echo "Done." Fi


CÓDIGO IGT-09-09

VERSIÓN 1



No No

Una vez hecho esto , se debe de dar "boot" al servidor o bien ejecutar el archivo /etc/rc.d/rc.local para que sea activada la opción de "cuotas". Esto generará archivos del tipo : quota.user y quota.group en cada directorio de la partición. En el caso anterior, los archivos quedarian asi:

/quota.group/home/quota.user/home/quota.group

El comando edquota determina el uso de cada usario o grupo segun sea el caso bajo las particiones: edquota daniel ,desplegaria lo siguiente en un editor de textos :

Quotas for user daniel:/dev/hda1: blocks in use: 133982, limits (soft = 0, hard = 0)

inodes in use: 1510, limits (soft = 0, hard = 0)/dev/hda6: blocks in use: 13390, limits (soft = 0, hard = 0)

inodes in use: 100, limits (soft = 0, hard = 0)

En el desplegado anterior se puede observar que el usuario "daniel" ya es dueño de varios archivos en las particiones, pero aun no tiene limites.La modificación de este archivo se hace directamente en un editor de textos. El significado de los limites es el siguiente:blocks : Capacidad en KB (4096=4MB | 1024=1MB) softlimit: limite en KB sobre la particion en especifico ("file system") hardlimit: limite absoluto en KB sobre todo el disco inodes : Numero de archivos ("inodes") softlimit: numero máximo de archivos sobre la particion en especifico ("file system") hardlimit: numero máximo de archivos absoluto en todo el disco

http://www.osmosislatina.com/unix/archivos_comunes.htm#rc.local


CÓDIGO IGT-09-09

VERSIÓN 1



No No

En dado caso que se requiera imponer estas cuotas a otros usuarios se hace mediante el siguiente comando:#edquota -p daniel -u oracle aol postgres

De esta manera los usuarios oracle aol postgres seran asignados los mismos limites del usuario daniel Si simplemente se desea observar cuanto espacio esta utilizando cada usuario o grupo utilize el comando:

#quota -u daniel o quota -g cvs

Guia de Aseguramiento Linux SGD07 (App Server Oracle)

Documents

Transcript of Guia de Aseguramiento Linux SGD07 (App Server Oracle)