4.7.6.2.- Definir las cuotas de los usuarios

Linux es un sistema operativo multiusuario, por lo que es posible que un usuario del sistema consuma grandes cantidades de espacio en disco, por lo que un atacante podría hacerse pasar por un usuario y consumir todo el espacio en disco de nuestro sistema.

Un atacante realiza este tipo de ataque por ejemplo para llenar totalmente la partición que almacena los ficheros de logs, de forma que una vez está llena el atacante realice el ataque y ningún registro lo almacenará. Para evitar este tipo de ataques, Linux permite establecer cuotas de disco sobre cada partición del sistema de forma independiente y no sobre la totalidad del sistema.

Para editar la cuota de un usuario o grupo se usa el programa edquota con la opción -u para editar las cuotas de usuarios y con la opcion -g para editar las opciones de grupo. Sólo hay que editar los números que están detrás de soft y hard. El período de gracia que hay entre el límite soft y el hard puede cambiarse con:

edquota_t

La mayoría de las veces los usuarios tienen la misma cuota. Una forma rápida de editar la cuota de todos los usuarios es colocarse en el directorio donde tienen sus directorios raíz cada usuario. Editar la cuota de uno de estos usuarios con los valores apropiados y, posteriormente, ejecutar:

edquota_p

Para verificar las cuotas que tiene un usuario se utiliza el comando:

quota_v

El superusuario puede ver las cuotas de todos los usuarios con el comando:

repquota

Podemos ver el fichero de configuración temporal que controla las cuotas para el usuario especificado.

editor_favorito /etc/quotatab, donde editor_favorito es el editor de texto que estemos acostumbrados a utilizar:

Editor "gedit" del archivo temporal de las quotas.

Editor “gedit” del archivo temporal de las quotas.

Editor "vi" mostrando el archivo temporal de quotas.

Editor “vi” mostrando el archivo temporal de quotas.

Cuando terminemos con edquota, usaremos el fichero de configuración temporal para escribir la información de la cuota en las estructuras de datos de disco a bajo nivel que controla los mecanismos de cuotas del kernel. Por ejemplo, escribimos…

edquota_atika

…para editar las cuotas de atika.

 folder_linux1Hay unos cuantos comandos relacionados con la cuota que nos resultaran útiles. El primero es quotacheck, que verifica y actualiza la información de la cuota en los discos con cuota activada. Este comando se ejecuta normalmente como parte del script de inicio SysV del paquete, pero podemos ejecutarlo periódicamente como una tarea cron. Aunque, en teoría, no se necesita si todo funciona correctamente, quotacheck asegura que la contabilidad de las cuotas sea la adecuada.

El segundo comando de cuotas auxiliar que nos puede ser de utilidad es repquota, que resume la información de las cuotas del sistema de ficheros especificado o de todos los sistemas ficheros si le pasa la opción -a. Esta herramienta puede ser muy útil para seguirle la pista al uso del disco. El comando quota posee un efecto similar. La herramienta quota recibe un número de opciones que modifican su salida. Por ejemplo, -g muestra las cuotas del grupo, -l omite los montados NFS y -q limita la salida a los sistemas de ficheros cuyo uso sobrepasa el límite. Encontrará opciones aún más desconocidas en la página man de quota.