Настройки для систем лимитирования и изоляции
Расположение файлов и директорий LimitedFS
Конфигурационные файлы LimitedFS находятся в директории /etc/limitedfs.
Файловая система и точки монтирования для пользователей находятся в директории /srv/limitedfs.
Настройка MIN_UID для систем лимитирования и изоляции
LimitedFS, а также система лимитирования, работают с пользователями, UID которых больше или равен MIN_UID.
По умолчанию значение MIN_UID равно 1000.
Просмотреть или изменить MIN_UID можно с помощью следующих команд.
Команда задаёт
MIN UIDпользователей для LimitedFS.$ sudo lfsctl --set-min-uid
Команда отображает текущий установленный MIN UID.
$ sudo lfsctl --get-min-uid
Настройка MIN_UID используется, чтобы разграничить пользователей,
которые должны быть ограничены при помощи систем лимитирования и изоляции,
и пользователей, к которым не должны применяться эти ограничения.
Пользователи, UID которых меньше чем MIN_UID, не будут ограничиваться системами лимитирования и изоляции.
Настройка MIN_UID хранится в бинарном (двоичном) формате в файле /etc/limitedfs/ls.min.uid.
При этом, если значение MIN_UID равно значению по умолчанию (1000), то файл /etc/limitedfs/ls.min.uid удаляется (не существует).
Изоляция процессов пользователей (PID namespace)
При выключенной изоляции процессов, пользователь может видеть все процессы в системе (работающие как внутри LimitedFS, так и вне её).
Параметр монтирования директории /proc, называемый hidepid, позволяет скрыть от пользователя процессы других пользователей.
Но если от имени пользователя работают процессы вне LimitedFS, то такие процессы тоже будут видны этому пользователю, если выполнить команду ps aux внутри LimitedFS.
Функция изоляции процессов пользователей (PID namespace) предоставляет улучшенную изоляцию (ограничение видимости) процессов пользователя внутри LimitedFS. При включённой изоляции процессов, пользователь внутри LimitedFS видит только процессы, которые работают внутри LimitedFS этого пользователя.
Для включения изоляции процессов выполните следующие команды:
$ sudo touch /etc/limitedfs/pid.ns.enable
$ sudo lfsctl --mount-lfs
Для выключения изоляции процессов выполните следующие команды:
$ sudo rm -f /etc/limitedfs/pid.ns.enable
$ sudo lfsctl --mount-lfs
На текущий момент изоляция процессов пользователей поддерживается в LimitedFS для сервисов su, ssh, cron.