วิธีการป้องกันส้อมระเบิด?

เพื่อป้องกันการวางระเบิดฉันได้ติดตามhttp://www.linuxhowtos.org/Tips%20and%20Tricks/ulimit.htmนี้

ulimit -aสะท้อนถึงการตั้งค่าใหม่ แต่เมื่อฉันเรียกใช้ ( rootในbash) :(){ :|:&};:VM ยังคงดำเนินต่อไปบน CPU + RAM สูงสุดและระบบจะหยุดทำงาน

จะมั่นใจได้อย่างไรว่าผู้ใช้จะไม่ถูกทำลายโดยการใช้ fork bombs หรือเรียกใช้แอพพลิเคชั่น buggy?

ระบบปฏิบัติการ: RHEL 6.4

superuser หรือกระบวนการใด ๆ ที่มีความสามารถของ CAP_SYS_ADMIN หรือ CAP_SYS_RESOURCE นั้นไม่ได้รับผลกระทบจากข้อ จำกัด ดังกล่าวนั่นไม่ใช่สิ่งที่สามารถเปลี่ยนแปลงได้ rootสามารถแยกกระบวนการ

หากซอฟต์แวร์บางตัวไม่น่าเชื่อถือก็ไม่ควรทำงานเหมือนrootเดิม

เพื่อให้การเปลี่ยนแปลงนี้แพร่หลายคุณจะต้องเพิ่มขีด จำกัด เหล่านี้ในสภาพแวดล้อมทั้งหมด การเปลี่ยนแปลงโดยใช้ulimitคำสั่งเป็นเพียงสภาพแวดล้อมปัจจุบัน

หมายเหตุ:สิ่งนี้จะไม่มีผลกับผู้ใช้รูท!

ตัวอย่าง

แก้ไขไฟล์นี้: vi /etc/security/limits.confและเพิ่มรายการในไฟล์ที่ จำกัด จำนวนกระบวนการ ( nproc) ที่ผู้ใช้หรือกลุ่มผู้ใช้ที่เฉพาะเจาะจงได้รับอนุญาต

vivek hard nproc 300
@student hard nproc 50
@faculty soft nproc 100
@pusers hard nproc 200

หมายเหตุ:มีตัวอย่างเพิ่มเติมในไฟล์นั้น ระวังด้วยการใช้ "ทั้งหมด" (aka. *) สิ่งนี้จะ จำกัด บัญชีระบบด้วย

อ้างอิง

• วิธีการ: ป้องกันการวางระเบิดด้วยการ จำกัด กระบวนการของผู้ใช้