PDA

Visualizza la versione completa : Proteggere un server di rete dai propri utenti


Marcolino's
03-12-2008, 20:17
Tra le pillole ho trovato questa utile FAQ

Originariamente inviato da pilovis
Sembra essere sempre piu' utilizzato il sistema di attacco "Forkbomb" che manda in crash il sistema operativo lanciando uno o piu' comandi che generano in continuazione nuovi processi fino a mandare in saturazione CPU e RAM, bloccando di fatto l'utilizzo del PC, a questo punto solo un hard reset ripristina la situazione ma con tutti i rischi che conseguono ad un riavvio brutale.
La cosa brutta e' che per questo tipo di attacco non servono i permessi di root, ma bastano quelli di un qualsiasi utente,

Come proteggersi:

Editare il file: /etc/security/limits.conf

sudo gedit /etc/security/limits.conf

inserire al suo interno la seguente istruzione:

username* hard nproc 300

*) al posto di username* usare il vostro vero "username" o lo username dell'utente che volete limitare

NOTA: il comando di cui sopra limita a 300 il numero massimo di processi contemporanei eseguibili sulla macchina, proteggendo cosi' il sistema da questo tipo di attacco o anche da possibili loop infiniti di esecuzione comandi dovuti a errori di programmazione o disattenzioni.

E' consigliabile usarlo sempre su sistemi multiutente per evitare che la baggianaggine di un utente mandi in crash tutto il sistema.
mi chiedo ora, ma non è possibile definire invece che una regola per ogni utente iscritto, se non sia possibile abilitare dei filtri per gruppi di utenti? Anzi ora che lo scrivo e lo penso, proprio per groups?
Considerate che su ogni server di produzione ci possono essere tranquillamente iscritti più di cento utenti se la società è seria e molti di più se non lo è :D

sacarde
04-12-2008, 10:59
<domain> <type> <item> <value>

Where:
<domain> can be:

an user name
a group name, with @group syntax
the wildcard *, for default entry
the wildcard %, can be also used with %group syntax, for maxlogin limit

Marcolino's
04-12-2008, 14:54
Perfetto!
Le informazioni le hai trovate nel file che ancora non ho visto o in qualche altro posto?

sacarde
04-12-2008, 15:10
http://www.cyberciti.biz/tips/linux-limiting-user-process.html

Loading