Vorige: Hurd-Dienste, Nach oben: Dienste [Inhalt][Index]
Das Modul (gnu services authentication) stellt einen DBus-Dienst zur
Verfügung, mit dem Fingerabdrücke mit Hilfe eines Fingerabdrucksensors
gelesen und identifiziert werden können.
Der Diensttyp für fprintd, mit dem Fingerabdrücke gelesen werden
können.
Das Modul (gnu services sysctl) stellt einen Dienst zur Verfügung, um
Kernelparameter zur Boot-Zeit einzustellen.
Der Diensttyp für sysctl, das Kernel-Parameter unter
/proc/sys/ anpasst. Um IPv4-Weiterleitung („Forwarding“) zu
aktivieren, kann er auf diese Weise instanziiert werden:
(service sysctl-service-type
(sysctl-configuration
(settings '(("net.ipv4.ip_forward" . "1")))))
Weil sysctl-service-type in den Listen vorgegebener Dienste vorkommt,
sowohl in %base-services als auch in %desktop-services, können
Sie modify-services benutzen, um seine Konfiguration zu ändern und
die Kernel-Parameter einzutragen, die Sie möchten (siehe modify-services).
(modify-services %base-services
(sysctl-service-type config =>
(sysctl-configuration
(settings (append '(("net.ipv4.ip_forward" . "1"))
%default-sysctl-settings)))))
Der Datentyp, der die Konfiguration von sysctl repräsentiert.
sysctl (Vorgabe: (file-append procps "/sbin/sysctl")Die ausführbare Datei für sysctl, die benutzt werden soll.
settings (Vorgabe: %default-sysctl-settings)Eine assoziative Liste, die Kernel-Parameter und ihre Werte festlegt.
Eine assoziative Liste, die die vorgegebenen sysctl-Parameter auf
Guix System enthält.
Das Modul (gnu services security-token) stellt den folgenden Dienst
zur Verfügung, um pcscd auszuführen, den
PC/SC-Smart-Card-Daemon. pcscd ist das Daemonprogramm für die
Rahmensysteme pcsc-lite und MuscleCard. Es handelt sich um einen
Ressourcenverwaltungsdienst, der die Kommunikation mit
Smart-Card-Lesegeräten, Smart Cards und kryptographischen Tokens steuert,
die mit dem System verbunden sind.
Diensttyp für den pcscd-Dienst. Als Wert muss ein
pcscd-configuration-Objekt angegeben werden. Um pcscd mit seiner
Vorgabekonfiguration auszuführen, instanziieren Sie ihn als:
Repräsentiert die Konfiguration von pcscd.
pcsc-lite (Vorgabe: pcsc-lite)Das „pcsc-lite“-Paket, das pcscd zur Verfügung stellt.
usb-drivers (Vorgabe: (list ccid))Die Liste der Pakete, die USB-Treiber für pcscd zur Verfügung stellen. Es wird erwartet, dass sich Treiber unter pcsc/drivers innerhalb des Store-Verzeichnisses des Pakets befinden.
Das Modul (gnu services lirc) stellt den folgenden Dienst zur
Verfügung.
Liefert einen Dienst, der LIRC ausführt, einen Dienst zum Dekodieren von Infrarot-Signalen aus Fernbedienungen.
Optional können device (Gerät), driver (Treiber) und
config-file (Name der Konfigurationsdatei) festgelegt werden. Siehe
das Handbuch von lircd für Details.
Schließlich enthält extra-options eine Liste zusätzlicher
Befehlszeilenoptionen, die an lircd übergeben werden.
Das Modul (gnu services spice) stellt den folgenden Dienst bereit.
Liefert einen Dienst, der VDAGENT ausführt, einen Daemon, um die Zwischenablage mit einer virtuellen Maschine zu teilen und die Auflösung des Anzeigegeräts des Gastsystems umzustellen, wenn sich die Größe des grafischen Konsolenfensters ändert.
Der inputattach-Dienst macht es Ihnen möglich, Eingabegeräte wie Wacom-Tabletts, Tastbildschirme („Touchscreens“) oder Joysticks mit dem Xorg-Anzeigeserver zu benutzen.
Der Diensttyp für den Dienst, der inputattach auf einem Gerät
ausführt und Ereignisse davon weiterleitet.
device-type (Vorgabe: "wacom")Der Typ des Geräts, mit dem eine Verbindung hergestellt werden soll. Führen
Sie inputattach --help aus dem inputattach-Paket aus, um
eine Liste unterstützter Gerätetypen zu sehen.
device (Vorgabe: "/dev/ttyS0")Die Gerätedatei, um sich mit dem Gerät zu verbinden.
baud-rate (Vorgabe: #f)Welche Baudrate für die serielle Verbindung benutzt werden soll. Es sollte
eine Zahl oder #f angegeben werden.
log-file (Vorgabe: #f)Wenn es wahr ist, muss es der Name einer Datei sein, in die Protokollnachrichten geschrieben werden sollen.
Das Modul (gnu services dict) stellt den folgenden Dienst zur
Verfügung:
Dies ist der Diensttyp für einen Dienst, der den dicod-Daemon
ausführt. Dabei handelt es sich um eine Implementierung eines DICT-Servers
(siehe das Dicod in Handbuch von GNU Dico).
Liefert einen Dienst, der den dicod-Daemon ausführt. Dabei handelt
es sich um eine Implementierung eines DICT-Servers (siehe das Dicod in Handbuch von GNU Dico).
Das optionale Argument config gibt die Konfiguration für
dicod an, welche ein <dicod-configuration>-Objekt sein
sollte. Nach Vorgabe wird als Wörterbuch das „GNU Collaborative
International Dictionary of English“ angeboten.
Sie können in Ihre ~/.dico-Datei open localhost eintragen,
damit localhost zum voreingestellten Server des
dico-Clients wird (siehe das Initialization File in Handbuch von GNU Dico).
Der Datentyp, der die Konfiguration von dicod repräsentiert.
dico (Vorgabe: dico)Paketobjekt des GNU-Dico-Wörterbuchservers.
interfaces (Vorgabe: ’("localhost"))Hierfür muss die Liste der IP-Adressen, Ports und möglicherweise auch
Socket-Dateinamen angegeben werden, auf die gelauscht werden soll (siehe
listen directive in Handbuch von GNU
Dico).
handlers (Vorgabe: ’())Liste der <dicod-handler>-Objekte, die Handler (Modulinstanzen)
bezeichnen.
databases (Vorgabe: (list %dicod-database:gcide))Liste der <dicod-database>-Objekte, die anzubietende Wörterbücher
bezeichnen.
Der Datentyp, der einen Wörterbuch-Handler (eine Modulinstanz) repräsentiert.
nameDer Name des Handlers (der Modulinstanz).
module (Vorgabe: #f)Der Name des dicod-Moduls (der Instanz) des Handlers. Wenn er #f ist,
heißt das, das Modul hat denselben Namen wie der Handler (siehe
Modules in Handbuch von GNU Dico).
optionsListe der Zeichenketten oder G-Ausdrücke, die die Argumente für den Modul-Handler repräsentieren.
Datentyp, der eine Wörterbuchdatenbank repräsentiert.
nameDer Name der Datenbank, der in DICT-Befehlen benutzt wird.
handlerDer Name des dicod-Handlers (der Modulinstanz), die von dieser Datenbank benutzt wird (siehe Handlers in Handbuch von GNU Dico).
complex? (Vorgabe: #f)Ob die Datenbankkonfiguration komplex ist. In diesem Fall muss für die
komplexe Konfiguration auch ein entsprechendes <dicod-handler>-Objekt
existieren, ansonsten nicht.
optionsListe der Zeichenketten oder G-Ausdrücke, die die Argumente für die Datenbank repräsentiert (siehe Databases in Handbuch von GNU Dico).
Ein <dicod-database>-Objekt, um das „GNU Collaborative International
Dictionary of English“ anzubieten. Dazu wird das gcide-Paket benutzt.
Im Folgenden sehen Sie eine Beispielkonfiguration für einen
dicod-service.
(dicod-service #:config
(dicod-configuration
(handlers (list (dicod-handler
(name "wordnet")
(module "dictorg")
(options
(list #~(string-append "dbdir=" #$wordnet))))))
(databases (list (dicod-database
(name "wordnet")
(complex? #t)
(handler "wordnet")
(options '("database=wn")))
%dicod-database:gcide))))
Das Modul (gnu services docker) stellt die folgenden Dienste zur
Verfügung.
Dies ist der Diensttyp des Dienstes, um Docker auszuführen, einen Daemon, der Anwendungsbündel in „Containern“, d.h. isolierten Umgebungen, ausführen kann.
Dies ist der Datentyp, der die Konfiguration von Docker und Containerd repräsentiert.
docker (Vorgabe: docker)Das Docker-Daemon-Paket, was benutzt werden soll.
docker-cli (Vorgabe: docker-cli)Das Docker-Client-Paket, was benutzt werden soll.
containerd (Vorgabe: containerd)Das Containerd-Paket, was benutzt werden soll.
proxy (Vorgabe: docker-libnetwork-cmd-proxy)Das Paket des mit Benutzerrechten (im „User-Land“) ausgeführten Docker-Netzwerkproxys, das verwendet werden soll.
enable-proxy? (Vorgabe: #t)Den mit Benutzerrechten (im „User-Land“) ausgeführten Docker-Netzwerkproxy an- oder abschalten.
debug? (Vorgabe: #f)Ausgaben zur Fehlersuche an- oder abschalten.
enable-iptables? (Vorgabe: #t)Das Hinzufügen von iptables-Regeln durch Docker an- oder abschalten.
environment-variables (Vorgabe: ())Liste Umgebungsvariabler, mit denen dockerd gestartet wird.
Hier muss eine Liste von Zeichenketten angegeben werden, die jeweils der Form ‘Schlüssel=Wert’ genügen wie in diesem Beispiel:
(list "LANGUAGE=eo:ca:eu"
"TMPDIR=/tmp/dockerd")
Dies ist der Diensttyp für den Dienst, mit dem Sie Singularity ausführen können, ein Docker-ähnliches Werkzeug, um Anwendungsbündel (auch bekannt als „Container“) auszuführen. Der Wert für diesen Dienst ist das Singularity-Paket, das benutzt werden soll.
Der Dienst installiert keinen Daemon, sondern er installiert Hilfsprogramme
als setuid-root (siehe Setuid-Programme), damit auch „unprivilegierte“
Nutzer ohne besondere Berechtigungen singularity run und ähnliche
Befehle ausführen können.
Das Modul (gnu services auditd) stellt den folgenden Dienst zur
Verfügung.
Dies ist der Diensttyp des Dienstes, mit dem auditd ausgeführt wird, ein Daemon, der sicherheitsrelevante Informationen auf Ihrem System sammelt.
Beispiele für Dinge, über die Informationen gesammelt werden sollen:
auditctl aus dem audit-Paket kann benutzt werden, um zu
überwachende Ereignisse (bis zum nächsten Neustart) hinzuzufügen oder zu
entfernen. Um über Ereignisse dauerhaft Informationen sammeln zu lassen,
schreiben Sie die Befehlszeilenargumente für auditctl in eine Datei namens
audit.rules im Verzeichnis für Konfigurationen (siehe
unten). aureport aus dem audit-Paket kann benutzt werden,
um einen Bericht über alle aufgezeichneten Ereignisse anzuzeigen. Nach
Vorgabe speichert der Audit-Daemon Protokolle in die Datei
/var/log/audit.log.
Dies ist der Datentyp, der die Konfiguration von auditd repräsentiert.
audit (Vorgabe: audit)Das zu verwendende audit-Paket.
configuration-directory (Vorgabe: %default-auditd-configuration-directory)Das Verzeichnis mit der Konfigurationsdatei für das audit-Paket. Sie muss
den Namen auditd.conf tragen und optional kann sie ein paar
Audit-Regeln enthalten, die beim Start instanziiert werden sollen.
Das Modul (gnu services science) stellt den folgenden Dienst bereit.
Dies ist der Diensttyp eines Dienstes, um eine mit r-shiny erzeugte
Web-Anwendung („Webapp“) auszuführen. Dieser Dienst legt die
Umgebungsvariable R_LIBS_USER fest und führt das eingestellte Skript
aus, um runApp aufzurufen.
Dies ist der Datentyp, der die Konfiguration von rshiny repräsentiert.
package (Vorgabe: r-shiny)Das zu benutzende Paket.
binary (Vorgabe: "rshiny")Der Name der Binärdatei oder des Shell-Skripts, das sich in
Paket/bin/ befindet und beim Starten des Dienstes ausgeführt werden
soll.
Die übliche Art, diese Datei erzeugen zu lassen, ist folgende:
… (let* ((out (assoc-ref %outputs "out")) (targetdir (string-append out "/share/" ,name)) (app (string-append out "/bin/" ,name)) (Rbin (search-input-file %build-inputs "/bin/Rscript"))) ;; … (mkdir-p (string-append out "/bin")) (call-with-output-file app (lambda (port) (format port "#!~a library(shiny) setwd(\"~a\") runApp(launch.browser=0, port=4202)~%\n" Rbin targetdir))))
Das Modul (gnu services nix) stellt den folgenden Dienst zur
Verfügung:
Dies ist der Diensttyp für den Dienst, der den Erstellungs-Daemon der Nix-Paketverwaltung ausführt. Hier ist ein Beispiel, wie man ihn benutzt:
(use-modules (gnu)) (use-service-modules nix) (use-package-modules package-management) (operating-system ;; … (packages (append (list nix) %base-packages)) (services (append (list (service nix-service-type)) %base-services)))
Nach guix system reconfigure können Sie Nix für Ihr Benutzerkonto
konfigurieren:
$ ln -s "/nix/var/nix/profiles/per-user/$USER/profile" ~/.nix-profile $ source /run/current-system/profile/etc/profile.d/nix.sh
Dieser Datentyp repräsentiert die Konfiguration des Nix-Daemons.
nix (Vorgabe: nix)Das zu verwendende Nix-Paket.
sandbox (Vorgabe: #t)Gibt an, ob Erstellungen nach Voreinstellung in einer isolierten Umgebung („Sandbox“) durchgeführt werden sollen.
build-sandbox-items (Vorgabe: '())Dies ist eine Liste von Zeichenketten oder Objekten, die an das
build-sandbox-items-Feld der Konfigurationsdatei angehängt werden.
extra-config (Vorgabe: '())Dies ist eine Liste von Zeichenketten oder Objekten, die an die Konfigurationsdatei angehängt werden. Mit ihnen wird zusätzlicher Text wortwörtlich zur Konfigurationsdatei hinzugefügt.
extra-options (Vorgabe: '())Zusätzliche Befehlszeilenoptionen für nix-service-type.
Durch fail2ban werden
Protokolldateien durchgesehen (wie /var/log/apache/error_log) und
diejenigen IP-Adressen ausgesperrt, die bösartig erscheinen – also
mehrfach ein falsches Passwort probieren, nach Sicherheitslücken suchen und
Ähnliches.
Der Diensttyp fail2ban-service-type wird durch das Modul (gnu
services security) verfügbar gemacht.
Mit dem Diensttyp wird der fail2ban-Daemon ausgeführt. Sie können ihn
auf unterschiedliche Weise konfigurieren, nämlich:
Die Grundeinstellungen für den Fail2Ban-Dienst können Sie über seine
fail2ban-Konfiguration bestimmen. Ihre Dokumentation finden Sie
unten.
Mit der Funktion fail2ban-jail-service können neue Fail2Ban-Jails
hinzugefügt werden.
Entwickler von Diensten können den Dienst mit dem Typ
fail2ban-service-type über den üblichen Mechanismus zur
Diensterweiterung erweitern.
Dies ist der Diensttyp für einen Dienst, der den fail2ban-Daemon
ausführt. Hier folgt ein Beispiel für eine grundlegende, explizite
Konfiguration.
(append
(list
(service fail2ban-service-type
(fail2ban-configuration
(extra-jails
(list
(fail2ban-jail-configuration
(name "sshd")
(enabled? #t))))))
;; Es besteht keine implizite Abhängigkeit von einem wirklichen
;; SSH-Dienst, also müssen Sie ihn zusätzlich hinschreiben.
(service openssh-service-type))
%base-services)
Den Diensttyp, ein <service-type>-Objekt, mit Jail
ausstatten, einem Objekt vom Typ fail2ban-jail-configuration.
Zum Beispiel:
(append
(list
(service
;; Durch die Prozedur 'fail2ban-jail-service' kann jeglicher Diensttyp
;; mit einem fail2ban-Jail versehen werden. So müssen die Dienste
;; nicht explizit im fail2ban-service-type aufgeführt werden.
(fail2ban-jail-service
openssh-service-type
(fail2ban-jail-configuration
(name "sshd")
(enabled? #t)))
(openssh-configuration …))))
Nun folgt die Referenz der Verbundstypen zur Konfiguration des
jail-service-type.
Verfügbare fail2ban-configuration-Felder sind:
fail2ban (Vorgabe: fail2ban) (Typ: „package“)Welches fail2ban-Paket benutzt werden soll. Es stellt sowohl die
Binärdateien als auch die Voreinstellungen für die Konfiguration bereit, die
mit <fail2ban-jail-configuration>-Objekten erweitert werden soll.
run-directory (Vorgabe: "/var/run/fail2ban") (Typ: Zeichenkette)Das Zustandsverzeichnis für den fail2ban-Daemon.
jails (Vorgabe: ()) (Typ: Liste-von-„fail2ban-jail-configuration“)<fail2ban-jail-configuration>-Instanzen, die sich aus
Diensterweiterungen ergeben.
extra-jails (Vorgabe: ()) (Typ: Liste-von-„fail2ban-jail-configuration“)<fail2ban-jail-configuration>-Instanzen, die explizit angegeben
werden.
extra-content (Vorgabe: ()) (Typ: Konfigurationstexte)Zusätzlicher „roher Inhalt“, der ans Ende der Datei jail.local angefügt wird. Geben Sie ihn als Liste von dateiartigen Objekten an.
Verfügbare fail2ban-ignore-cache-configuration-Felder sind:
key (Typ: Zeichenkette)Schlüssel, für den zwischengespeichert wird.
max-count (Typ: Ganze-Zahl)Für welche Größe zwischengespeichert wird.
max-time (Typ: Zeichenkette)Wie lange die Zwischenspeicherung anhält.
Verfügbare fail2ban-jail-action-configuration-Felder sind:
name (Typ: Zeichenkette)Name der Aktion.
arguments (Vorgabe: ()) (Typ: Liste-von-Argumenten)Argumente der Aktion.
Verfügbare fail2ban-jail-configuration-Felder sind:
name (Typ: Zeichenkette)Verpflichtend der Name dieser Jail-Konfiguration.
enabled? (Vorgabe: #t) (Typ: Boolescher-Ausdruck)Gibt an, ob dieses Jail aktiviert ist.
backend (Typ: Vielleicht-Symbol)Mit welchem Hintergrundprogramm Änderungen am log-path erkannt werden
sollen. Voreingestellt ist ’auto. Um die Voreinstellungen zu der
Jail-Konfiguration einzusehen, siehe die Datei
/etc/fail2ban/jail.conf des fail2ban-Pakets.
max-retry (Typ: Vielleicht-Ganze-Zahl)Wie oft Fehler erkannt werden müssen, bevor ein Rechner gesperrt wird (etwa
(max-retry 5)).
max-matches (Typ: Vielleicht-Ganze-Zahl)Wie viele Treffer je Ticket höchstens gespeichert werden sollen (in Aktionen
kann man dies mit <matches> verwenden).
find-time (Typ: Vielleicht-Zeichenkette)In welchem Zeitfenster die Höchstzahl an Neuversuchen festgestellt werden
muss, damit eine IP-Adresse gesperrt wird. Ein Rechner wird gesperrt, wenn
er max-retry während der letzten find-time Sekunden erreicht
hat (z.B. (find-time "10m")). Es kann in Sekunden angegeben werden
oder im Zeitkurzformat von Fail2Ban (das „time abbreviation format“, das in
man 5 jail.conf beschrieben ist).
ban-time (Typ: Vielleicht-Zeichenkette)Die Dauer einer Sperre, in Sekunden oder besagtem Zeitkurzformat. (Etwa
(ban-time "10m").)
ban-time-increment? (Typ: Vielleicht-Boolescher-Ausdruck)Ob vorherige Sperren einen Einfluss auf berechnete Steigerungen der Sperrzeit einer bestimmten IP-Adresse haben sollen.
ban-time-factor (Typ: Vielleicht-Zeichenkette)Der auf die Sperrzeit angerechnete Koeffizient für eine exponentiell zunehmende Sperrzeit.
ban-time-formula (Typ: Vielleicht-Zeichenkette)Mit dieser Formel wird der nächste Wert einer Sperrzeit berechnet.
ban-time-multipliers (Typ: Vielleicht-Zeichenkette)Hiermit wird der nächste Wert einer Sperrzeit berechnet und die Formel ignoriert.
ban-time-max-time (Typ: Vielleicht-Zeichenkette)Wie viele Sekunden jemand längstens gesperrt wird.
ban-time-rnd-time (Typ: Vielleicht-Zeichenkette)Wie viele Sekunden höchstens zufällig auf die Sperrzeit angerechnet werden. So können ausgefuchste Botnetze nicht genau ausrechnen, wann eine IP-Adresse wieder entsperrt sein wird.
ban-time-overall-jails? (Typ: Vielleicht-Boolescher-Ausdruck)Wenn dies wahr ist, wird festgelegt, dass nach einer IP-Adresse in der Datenbank aller Jails gesucht wird. Andernfalls wird nur das aktuelle Jail beachtet.
ignore-self? (Typ: Vielleicht-Boolescher-Ausdruck)Niemals die eigene IP-Adresse der lokalen Maschine bannen.
ignore-ip (Vorgabe: ()) (Typ: Liste-von-Zeichenketten)Eine Liste von IP-Adressen, CIDR-Masken oder DNS-Rechnernamen, die ignoriert
werden. fail2ban wird keinen Rechner bannen, der zu einer Adresse auf
dieser Liste gehört.
ignore-cache (Typ: Vielleicht-„fail2ban-ignore-cache-configuration“)Machen Sie Angaben zum Zwischenspeicher, mit dem mehrfache Auffälligkeiten ignoriert werden können.
filter (Typ: Vielleicht-„fail2ban-jail-filter-configuration“)Der Filter, der für das Jail gilt, als
<fail2ban-jail-filter-configuration>-Objekt. Nach Voreinstellung
entsprechen die Namen der Jails ihren Filternamen.
log-time-zone (Typ: Vielleicht-Zeichenkette)Die Voreinstellung für die Zeitzone, wenn eine Zeile im Protokoll keine nennt.
log-encoding (Typ: Vielleicht-Symbol)In welcher Kodierung die Protokolldateien abgelegt sind, um die sich das
Jail kümmert. Mögliche Werte sind 'ascii, 'utf-8 und
'auto.
log-path (Vorgabe: ()) (Typ: Liste-von-Zeichenketten)Die Dateinamen der Protokolldateien, die beobachtet werden.
action (Vorgabe: ()) (Typ: Liste-von-„fail2ban-jail-action“)Eine Liste von <fail2ban-jail-action-configuration>.
extra-content (Vorgabe: ()) (Typ: Konfigurationstexte)Zusätzlicher Inhalt für die Jail-Konfiguration. Geben Sie ihn als Liste von dateiartigen Objekten an.
Verfügbare fail2ban-jail-filter-configuration-Felder sind:
name (Typ: Zeichenkette)Filter, der benutzt werden soll.
mode (Typ: Vielleicht-Zeichenkette)In welchem Modus der Filter stehen soll.
Vorige: Hurd-Dienste, Nach oben: Dienste [Inhalt][Index]