Çatal bomba nasıl önlenir?

14

Çatal bombasını önlemek için bunu http://www.linuxhowtos.org/Tips%20and%20Tricks/ulimit.htm izledim

ulimit -ayeni ayarları yansıtır, ancak çalıştırdığımda (olduğu rootgibi bash) :(){ :|:&};:VM hala maksimum CPU + RAM'e gider ve sistem donar.

Kullanıcıların çatal bombaları kullanarak veya bir buggy uygulaması çalıştırarak sistemi düşürmemelerini nasıl sağlayabilirim?

İşletim Sistemi: RHEL 6.4

rhel  freeze  resources  ulimit 
user44441
kaynak
Burada çoğaltamıyorum. Bunu rootşans eseri deniyor musun ? Hangi kabuğu deniyorsun? (sonra eksik boşluk {önerir zshama ben de orada çoğaltamaz).
Stéphane Chazelas
Stephane Chazelas: 1] Kök olarak çalışıyordum, çalıştığı normal kullanıcı ile denedim. 2] Eksik alan yazım hatası, bash kullanıyorum. 3] Ulimit 'root' kullanıcısını yönetemez mi?
user44441
@ stephane-chazelas 1] Kök olarak çalışıyordum, çalıştığı normal kullanıcı ile denedim. 2] Eksik alan yazım hatası, bash kullanıyorum. 3] Ulimit 'root' kullanıcısını yönetemez mi?
user44441

Yanıtlar:

8

Süper kullanıcı veya CAP_SYS_ADMIN veya CAP_SYS_RESOURCE yeteneklerine sahip herhangi bir işlem bu sınırlamadan etkilenmez, bu değiştirilebilecek bir şey değildir. rootsüreçleri her zaman çatallayabilir.

Bazı yazılımlara güvenilmiyorsa, rootyine de çalıştırılmamalıdır .

Stéphane Chazelas
kaynak
3
Özel bir şey yapmadığı sürece, hemen hemen hiçbir şey kök olarak çalıştırılmamalıdır. root, hangi ayrıcalıkları / hakları bulmanız gerektiğini veya bazı temel sistem hizmetlerini anlamaya çalışmaktan yorulduğunuzda kullandığınız hesaptır.
Bratchley
11

Bu değişikliği yaygınlaştırmak için bu sınırları tüm ortama eklemeniz gerekir. ulimitKomutu kullanarak yapılan değişiklikler yalnızca geçerli ortama uygulanır.

NOT: Bunun kök kullanıcı üzerinde hiçbir etkisi olmayacaktır!

Misal

Bu dosyayı düzenleyin: vi /etc/security/limits.confve dosyaya nprocbelirli bir kullanıcının veya kullanıcı grubunun sahip olmasına izin verilen işlem sayısını ( ) sınırlayan girdiler ekleyin .

vivek hard nproc 300
@student hard nproc 50
@faculty soft nproc 100
@pusers hard nproc 200

NOT: Bu dosyada daha fazla örnek bulunmaktadır. "All" (aka. *) İşlevini kullanırken dikkatli olun, bu sistem hesaplarını da sınırlar.

Referanslar

slm
kaynak
"Tümü" sistem hesaplarını sınırlasa da, bu sistem hesapları tarafından çalıştırılan çoğu hizmet aktarılmaz pam_limits.
jordanm
Ulimit 'root' kullanıcısını yönetemez mi?
user44441
Gönderiye daha fazlasını eklemek için genel bir fikir olarak , OP'nin platformu desteklediğinden ve pam_cgroup hakkında bir şey eklemek isteyebilirsiniz, çünkü pam_limitssonunda gruplar daha geniş bir şekilde benimsenir.
Bratchley
Ayrıca, OP kaynak kullanım ilkeleriyle oynuyor gibi göründüğünden, cgroupsağ ve CPU kullanımı için onlara daha iyi düğmeler verir.
Bratchley
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.