Fix disk quota

3 years ago · 85d86ebf74
parent e528a3b7b6
commit 85d86ebf74
2 changed files with 148 additions and 57 deletions
--- a/ublinux/rc.preinit.d/56-security
+++ b/ublinux/rc.preinit.d/56-security
@ -21,6 +21,23 @@ SYSCONF="${ROOTFS}/${SYSCONF}"
 SOURCE=${SYSCONF}/config; [[ -f ${SOURCE} ]] && . ${SOURCE} 2>/dev/null
 SOURCE=${SYSCONF}/security; [ -f ${SOURCE} ] && . ${SOURCE} 2>/dev/null

+exec_openssl_gost(){
+## Настройка OpenSSL ГОСТ
+    FILE_OPENSSL_CONF="${ROOTFS}/etc//etc/ssl/openssl.cnf"
+    FILE_OPENSSL_GOST_CONF="${ROOTFS}/etc//etc/ssl/gost.cnf"
+    TXT_OPENSSL_GOST_CONF="$(sed -r '/^\s*$/d' "${FILE_OPENSSL_GOST_CONF}")"
+    TXT_ENABLE_GOST_CONF="openssl_conf = openssl_gost"
+
+    if [[ ${OPENSSL_GOST,,} == @(y|yes|enable) ]]; then
+    # Enable GOST
+	grep -q "${TXT_ENABLE_GOST_CONF}" "${FILE_OPENSSL_CONF}" || sed "0,/^[a-zA-Z0-9\[]/s//${TXT_ENABLE_GOST_CONF}\n&/" -i "${FILE_OPENSSL_CONF}"
+	grep -q "${TXT_OPENSSL_GOST_CONF%%$'\n'*}" "${FILE_OPENSSL_CONF}" || cat ${FILE_OPENSSL_GOST_CONF} >> "${FILE_OPENSSL_CONF}"
+    elif [[ ${OPENSSL_GOST,,} == @(n|no|disable) ]]; then
+    ## Disable GOST
+	sed "/${TXT_ENABLE_GOST_CONF}/d" -i "${FILE_OPENSSL_CONF}"
+	sed "/${TXT_OPENSSL_GOST_CONF%%$'\n'*}/,/${TXT_OPENSSL_GOST_CONF##*$'\n'}/d" -i "${FILE_OPENSSL_CONF}"
+    fi
+}
 exec_access_denied_vtx11(){
    FILE_XORGDONTVTSWITCH_CONF="${ROOTFS}/etc/X11/xorg.conf.d/ublinux-disable-vt.conf"
    FILE_SYSTEMDLOGIND_CONF="${ROOTFS}/etc/systemd/logind.conf.d/ublinux-disable-vt.conf"
@ -73,6 +90,40 @@ exec_access_denied_login(){
 	done
    fi    
 }
+exec_access_allowed_suid(){
+## Отключить влияние SUID бита на привилегии порождаемого процесса всем, кроме указанных в ACCESS_ALLOWED_SUID
+    if [[ -n ${ACCESS_ALLOWED_SUID[@]} ]]; then
+	for PATH_WORK_SUID in "${!ACCESS_ALLOWED_SUID[@]}"; do
+	    EXCLUDE_SUID=$(tr , $'\n' <<< ${ACCESS_ALLOWED_SUID[${PATH_WORK_SUID}]})
+	    find ${PATH_WORK_SUID} -type f -perm /u=s $(printf "! -name %s " ${EXCLUDE_SUID}) -exec chmod u-s {} +
+	done
+    fi
+}
+exec_access_allowed_sgid(){
+## Отключить влияние SGID бита на привилегии порождаемого процесса всем, кроме указанных в ACCESS_ALLOWED_SGID
+    if [[ -n ${ACCESS_ALLOWED_SGID[@]} ]]; then
+	for PATH_WORK_SGID in "${!ACCESS_ALLOWED_SGID[@]}"; do
+	    EXCLUDE_SGID=$(tr , $'\n' <<< ${ACCESS_ALLOWED_SGID[${PATH_WORK_SGID}]})
+	    find ${PATH_WORK_SGID} -type f -perm /g=s $(printf "! -name %s " ${EXCLUDE_SGID}) -exec chmod g-s {} +
+	done
+    fi
+}
+exec_access_allowed_interpreter(){
+## Ограничить запуск интерпретаторов языков программирования в интерактивном режиме
+    true
+}
+exec_mount_attr(){
+## Отключить пользовательские nosuid nodev noexec на смонтированные цели
+    true
+}
+exec_mount_quota(){
+## Использовать дисковые квоты на файловые системы
+    true
+}
+exec_cgroup_quota(){
+## Квоты на ресурсы, через cgroup2. Механизм systemd или напрямую cgroup
+    true
+}
 exec_polkit(){
 ## Настрока polkit правил
    rm -f "${ROOTFS}"/etc/polkit-1/rules.d/ublinux-*
@ -102,24 +153,6 @@ EOF
    fi
 }

-exec_openssl_gost(){
-## Настройка OpenSSL ГОСТ
-    FILE_OPENSSL_CONF="${ROOTFS}/etc//etc/ssl/openssl.cnf"
-    FILE_OPENSSL_GOST_CONF="${ROOTFS}/etc//etc/ssl/gost.cnf"
-    TXT_OPENSSL_GOST_CONF="$(sed -r '/^\s*$/d' "${FILE_OPENSSL_GOST_CONF}")"
-    TXT_ENABLE_GOST_CONF="openssl_conf = openssl_gost"
-
-    if [[ ${OPENSSL_GOST,,} == @(y|yes|enable) ]]; then
-    # Enable GOST
-	grep -q "${TXT_ENABLE_GOST_CONF}" "${FILE_OPENSSL_CONF}" || sed "0,/^[a-zA-Z0-9\[]/s//${TXT_ENABLE_GOST_CONF}\n&/" -i "${FILE_OPENSSL_CONF}"
-	grep -q "${TXT_OPENSSL_GOST_CONF%%$'\n'*}" "${FILE_OPENSSL_CONF}" || cat ${FILE_OPENSSL_GOST_CONF} >> "${FILE_OPENSSL_CONF}"
-    elif [[ ${OPENSSL_GOST,,} == @(n|no|disable) ]]; then
-    ## Disable GOST
-	sed "/${TXT_ENABLE_GOST_CONF}/d" -i "${FILE_OPENSSL_CONF}"
-	sed "/${TXT_OPENSSL_GOST_CONF%%$'\n'*}/,/${TXT_OPENSSL_GOST_CONF##*$'\n'}/d" -i "${FILE_OPENSSL_CONF}"
-    fi
-}
-
 ################
 ##### MAIN #####
 ################
@ -130,7 +163,7 @@ exec_openssl_gost(){
        done < <(declare -F | grep "declare -f exec_")
    elif [[ ${0##*/} == ${SELF_NAME} ]]; then
        for FUNCTION in $@; do
-            ${FUNCTION}
+            declare -f ${FUNCTION} &>/dev/null && ${FUNCTION}
        done
    else
        true
--- a/ublinux/templates/ublinux-data.ini
+++ b/ublinux/templates/ublinux-data.ini
@ -396,7 +396,7 @@ NSSWITCHWINBIND=yes
 ## ACCESS_DENIED_VTX11=yes

 ## Управление доступом в систему, правила разрешения. /etc/security/access.conf
-## Предостережение: порядок правил имеет значение. Будет применено первое подходящее правило.
+## Предостережение: порядок правил имеет значение. Проверяется последовательно и будет применено первое подходящее правило
 ## Первыми обрабатываются привила ACCESS_ALLOWED_LOGIN, после правила ACCESS_DENIED_LOGIN
 ## ACCESS_ALLOWED_LOGIN=rule_1,rule_2,rule_n
 ## Формат привила: users/groups:origins
@ -417,6 +417,7 @@ NSSWITCHWINBIND=yes

 ## Управление доступом в систему, правила блокировки. /etc/security/access.conf
 ## ACCESS_DENIED_LOGIN=rule_1,rule_2,rule_n
+## Rules:
 ##   root:ALL					# Пользователю root должно быть отказано в доступе из всех источников
 ##   root:ALL EXCEPT LOCAL			# Запретить root вход через сеть
 ##   wheel:ALL EXCEPT LOCAL .domain.org		# Запретить нелокальный вход в привилегированные учетные записи группы wheel
@ -431,15 +432,57 @@ NSSWITCHWINBIND=yes
 ## Блокировать макросы приложений
 ## BLOCK_APP_MACROS=yes

-## Отключить влияние SUID и SGID бита на привилегии порождаемого процесса всем, кроме указанных в ACCESS_ALLOWED_SUID и ACCESS_ALLOWED_SGID
-## ACCESS_ALLOWED_SUID[/usr/bin]=vmware-user-suid-wrapper,Xvnc,vncserver-x11,veyon-auth-helper,at,cdda2wav,cdrecord,chage,chfn,chsh,crontab,cu,expiry,firejail,fusermount,fusermount-glusterfs,fusermount3,gpasswd,ksu,mount,mount.cifs,mount.ecryptfs_private,mount.nfs,newgrp,passwd,pkexec,readcd,rscsi,screen-4.9.0,sg,su,sudo,umount,unix_chkpwd,uucico,uucp,uuname,uustat,uux,uuxqt
+## Отключить влияние SUID бита на привилегии порождаемого процесса всем, кроме указанных исключений в ACCESS_ALLOWED_SUID
+## ACCESS_ALLOWED_SUID[<find_path_1> <find_path_n> <options>]=<file_1>,<file_2>,<file_n>
+## Find path:
+##   empty		# Если пусто и не задан [], то будут выбраны пути поиска ="/usr/bin /usr/local/bin /usr/local/sbin /home"
+##   /path_n/subpath	# Путь до каталога поиска
+## Options:
+##   -maxdepth 1	# Путь до каталога поиска с уровнем вложения 1
+## Files:
+##   files		# Имена файлов разделённые: , или пробелом или ;
+##   -			# Нет исключений, будут обработаны все файлы
+## ACCESS_ALLOWED_SUID[/usr/bin]=vmware-user-suid-wrapper,Xvnc,vncserver-x11,veyon-auth-helper,at,cdda2wav,cdrecord,chage,chfn,chsh,crontab,cu,expiry,firejail,fusermount,fusermount-glusterfs,fusermount3,gpasswd,ksu,mount,mount.cifs,mount.ecryptfs_private,mount.nfs,newgrp,passwd,pkexec,readcd,rscsi,screen-4.9.0,sg,su,sudo,suexec,umount,unix_chkpwd,uucico,uucp,uuname,uustat,uux,uuxqt
+## ACCESS_ALLOWED_SUID[/home]=-
+
+## Отключить влияние SGID бита на привилегии порождаемого процесса всем, кроме указанных исключений в ACCESS_ALLOWED_SGID
+## ACCESS_ALLOWED_SGID[<find_path_1> <find_path_n> <options>]=<file_1>,<file_2>,<file_n>
+## Find path:
+##   empty		# Если пусто и не задан [], то будут выбраны пути поиска ="/usr/bin /usr/local/bin /usr/local/sbin /home"
+##   /path_n/subpath	# Путь до каталога поиска
+## Options:
+##   -maxdepth 1	# Путь до каталога поиска с уровнем вложения 1
+## Files:
+##   files		# Имена файлов разделённые: , или пробелом или ;
+##   -			# Нет исключений, будут обработаны все файлы
 ## ACCESS_ALLOWED_SGID[/usr/bin]=vmware-user-suid-wrapper,x2goprint,at,locate,mount.cifs,mount.ecryptfs_private,unix_chkpwd,wall,write
+## ACCESS_ALLOWED_SGID[/home]=-

 ## Ограничить запуск интерпретаторов языков программирования в интерактивном режиме
-## ACCESS_ALLOWED_INTERPRETER[/usr/bin]=gbr3,python,python2,python3,perl,perl6,php,ruby,bash,node,awk
+## ACCESS_DENIED_INTERPRETER[<find_path_1> <find_path_n> <options>]=<file_1>,<file_2>,<file_n>
+## Find path:
+##   empty		# Если пусто и не задан [], то будут выбраны пути поиска ="/usr/bin /usr/local/bin /usr/local/sbin /home"
+##   /path_n/subpath	# Путь до каталога поиска
+## Options:
+##   -maxdepth 1	# Путь до каталога поиска с уровнем вложения 1
+## Files:
+##   files		# Имена файлов разделённые: , или пробелом или ;
+##   all		# Еквивалентно =gbr3,python,python2,python3,perl,perl6,php,ruby,node,awk,gawk
+## ACCESS_DENIED_INTERPRETER=all
+## ACCESS_DENIED_INTERPRETER[/usr/bin]=gbr3,python,python2,python3,perl,perl6,php,ruby,node,awk,gawk

 ## Отключить пользовательские nosuid nodev noexec на смонтированные цели
-##   MOUNT_ATTR[mount_point_1,mount_point_n]=attribut_1,attribut_n
+## MOUNT_ATTR[<source_1>,<source_n>]=<attribut_1>,<attribut_n>
+##   Source: 
+##     LABEL=<label>		# specifies device by filesystem label
+##     UUID=<uuid>		# specifies device by filesystem UUID
+##     PARTLABEL=<label>	# specifies device by partition label
+##     PARTUUID=<uuid>		# specifies device by partition UUID
+##     ID=<id>			# specifies device by udev hardware ID
+##     <device>			# specifies device by path
+##     <directory>		# mountpoint for bind mounts (see --bind/rbind)
+##     <file>			# regular file for loopdev setup
+##   Attributs:		# Разделённые: , или ;
 ##     nosuid		# Block the operation of suid, and sgid bits. | Блокировать работу suid и sgid бит.
 ##     nodev		# Don't interpret block special devices on the filesystem. | Не интерпретируйте блокировку специальных устройств в файловой системе.
 ##     noexec		# Don't allow the execution of executable binaries | Не позволить выполнять исполняемые двоичные файлы
@ -447,10 +490,11 @@ NSSWITCHWINBIND=yes
 ## MOUNT_ATTR[/home]=nosuid,nodev,noexec,nosymfollow
 ## MOUNT_ATTR[/tmp,/dev/shm]=nosuid,nodev,noexec

-## Использовать дисковые квоты на файловые системы
+## Использовать дисковые квоты на файловые системы ext2,ext3,ext4,jfs,xfs,vfs,...
 ##   MOUNT_QUOTA[mount_point_1,mount_point_n]=attribut_1,attribut_2,attribut_n
 ##     usrquota			# Включить простые квоты на пользователя
 ##     grpquota			# Включить простые квоты на группу
+##     prjquota
 ##     usrjquota=aquota.user	# Включить журналируемые квоты на пользователя
 ##     grpjquota=aquota.group	# Включить журналируемые квоты на группу
 ##     jqfmt=vfsold		# Использовать БД для простых квот V1
@ -459,6 +503,19 @@ NSSWITCHWINBIND=yes
 ## MOUNT_QUOTA[/home]=usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv1
 ## MOUNT_QUOTA[/]=usrquota,grpquota

+## DISK_QUOTA[usrquota:/home:user-1,user-2]=bsoft:bhard:bgrace:isoft:ihard:igrace
+## DISK_QUOTA[grpquota:/home:users,users@domain.com]=bsoft:bhard:bgrace:isoft:ihard:igrace
+## DISK_QUOTA[prjquota:/mnt/data/dir23:user-1,user-2]=bsoft:bhard:bgrace:isoft:ihard:igrace
+## DISK_QUOTA[prjquota,1,MyProjectName:/mnt/data/dir23:user-1,user-2]=bsoft:bhard:bgrace:isoft:ihard:igrace
+#Указывает имя файловой системы, для которой включена квота.
+##   bsoft 	# Указывает программное ограничение размера block в файловой системе, предупреждение. Применимо: M(egabyte),G(igabyte),T(erabyte)
+##   bhard 	# Указывает жесткое ограничение размера block в файловой системе. Применимо: M(egabyte),G(igabyte),T(erabyte)
+##   bgrace	# Льготный период секунд в течении которого разрешено превысить bsoft ограничение, но не более bhard. 3600=1час 86400=1день 604800=7дней
+##   isoft 	# Указывает программное ограничение inode в файловой системе, предупреждение
+##   ihard	# Указывает жесткое ограничение inode в файловой системе
+##   igrace	# Льготный период секунд в течении которого разрешено превысить isoft ограничение, не более ihard.
+
+
 ## Квоты на ресурсы, через cgroup2. Механизм systemd или напрямую cgroup. man 5 systemd.resource-control
 ##   CGROUP_QUOTA[unit|user]=property_1=value,property_2=value,property_n=value
 ##     Получить древовидный список cgroups и запущенных процессов: systemd-cgls --no-page
@ -466,7 +523,7 @@ NSSWITCHWINBIND=yes
 ##     Еденицы измерения: %, K, M, G, T
 ##       unit: system.slice, user.slice, user-0.slice, user-1000.slice, smb.service, cups.service, httpd.service, 
 ##       user: superadmin, user-1	# Системное имя пользователя
-##     PROPERTY:
+##     property:
 ##       MemoryHigh=200M	# Мягкое ограничение ОЗУ, юнит выходящий за рамки потребления ограничивается
 ##       MemoryMax=300M		# Жесткое ограничение ОЗУ, юнит выходящий за рамки потребления убивается
 ##       MemorySwapMax=100M	# Ограничение на потребление SWAP
@ -480,7 +537,8 @@ NSSWITCHWINBIND=yes
 ## Управление разрешениями действий polkit, можно разрешать для группы пользователей
 ## POLKIT[id_object]=result:group_1,group_n"
 ##   Посмотреть все доступные объекты polkit: pkaction | grep udisks
-##   result: yes|no|auth_self|auth_self_keep|auth_admin|auth_admin_keep|null
+##   result= yes|no|auth_self|auth_self_keep|auth_admin|auth_admin_keep|null
+##   id_object:
 ##     org.freedesktop.udisks2.                            # Mounting a filesystems all subgroup | Монтировать файловую систему все подгруппы
 ##     org.freedesktop.udisks2.filesystem-mount            # Mounting a filesystems | Монтировать файловую систему
 ##     org.freedesktop.udisks2.filesystem-mount-system     # Mount a filesystem on a system device | Монтировать файловую систему на системном устройстве