फोर्क बम को कैसे रोकें?

14

कांटा बम को रोकने के लिए मैंने इसके बाद http://www.linuxhowtos.org/Tips%20and%20Tricks/ulimate.mm

ulimit -aनई सेटिंग्स को दर्शाता है, लेकिन जब मैं (के रूप rootमें bash) चलाने के :(){ :|:&};:लिए VM अभी भी अधिकतम CPU + RAM पर जाता है और सिस्टम फ्रीज हो जाएगा।

उपयोगकर्ताओं को यह सुनिश्चित करने के लिए कैसे फोर्क बम का उपयोग करके या छोटी गाड़ी के आवेदन को चलाने से सिस्टम को नीचे नहीं लाया जाएगा?

ओएस: आरएचईएल 6.4

rhel  freeze  resources  ulimit 
user44441
स्रोत
मैं इसे यहाँ पुन: पेश नहीं कर सकता। क्या आप rootकिसी भी तरह से प्रयास कर रहे हैं ? आप इसे किस खोल से आज़मा रहे हैं? ( {सुझाव के बाद लापता स्थान zshलेकिन मैं इसे वहाँ भी पुन: पेश नहीं कर सकता)।
स्टीफन चेज़लस
स्टीफन चेज़ेलस: 1] मैं रूट के रूप में चल रहा था, मैंने इसे सामान्य उपयोगकर्ता के साथ आजमाया। 2] लापता स्थान टाइपो है, मैं bash.Sorry का उपयोग कर रहा हूं। 3] क्या यह है कि ulimit 'रूट' यूजर को मॉडरेट नहीं कर सकता है?
user44441
@ Stephane-chazelas 1] मैं रूट के रूप में चल रहा था, मैंने इसे सामान्य उपयोगकर्ता के साथ आजमाया। 2] लापता स्थान टाइपो है, मैं bash.Sorry का उपयोग कर रहा हूं। 3] क्या यह है कि ulimit 'रूट' यूजर को मॉडरेट नहीं कर सकता है?
user44441

जवाबों:

8

CAP_SYS_ADMIN या CAP_SYS_RESOURCE क्षमताओं के साथ सुपरयूज़र या कोई भी प्रक्रिया उस सीमा से प्रभावित नहीं होती है, यह ऐसी चीज़ नहीं है जिसे बदला जा सकता है। rootहमेशा कांटे की प्रक्रिया कर सकते हैं।

यदि कुछ सॉफ़्टवेयर पर भरोसा नहीं किया जाता है, तो इसे rootवैसे भी नहीं चलना चाहिए ।

स्टीफन चेज़लस
स्रोत
3
जब तक यह कुछ विशेष नहीं करता है, बहुत ज्यादा कुछ भी रूट रूट के रूप में नहीं चलना चाहिए। रूट वह खाता है जिसका उपयोग आप तब करते हैं जब आप यह पता लगाने की कोशिश कर के थक जाते हैं कि आपको किन विशेषाधिकारों / अधिकारों के बारे में जानने की जरूरत है या कुछ मूलभूत प्रणाली सेवा।
22
11

इस परिवर्तन को व्यापक बनाने के लिए आपको इन सीमाओं को पूरे परिवेश में जोड़ना होगा। ulimitकमांड का उपयोग करने वाले परिवर्तन केवल वर्तमान परिवेश में हैं।

नोट: इसका रूट उपयोगकर्ता पर कोई प्रभाव नहीं पड़ेगा!

उदाहरण

इस फ़ाइल को संपादित करें: vi /etc/security/limits.confऔर nprocकिसी विशिष्ट उपयोगकर्ता या उपयोगकर्ताओं के समूह की प्रक्रियाओं को सीमित करने वाली फ़ाइल में प्रविष्टियाँ जोड़ें ।

vivek hard nproc 300
@student hard nproc 50
@faculty soft nproc 100
@pusers hard nproc 200

नोट: उस फ़ाइल में और उदाहरण हैं। "सभी" (उर्फ *) का उपयोग करने के साथ सावधान रहें यह सिस्टम खातों को भी सीमित करेगा।

संदर्भ

slm
स्रोत
जबकि "सभी" सिस्टम खातों को सीमित करेगा, उन सिस्टम खातों द्वारा चलाई जाने वाली अधिकांश सेवाएं गुजरती नहीं हैं pam_limits
जोर्डन
क्या यह है कि ulimit 'रूट' उपयोगकर्ता को मॉडरेट नहीं कर सकता है?
user44441
पोस्ट में और अधिक जोड़ने के लिए एक सामान्य विचार के रूप में, आप ओपी के मंच का समर्थन करने के बाद से पोस्ट में pam_cgroup के बारे में कुछ जोड़ना चाहते हो सकता है और pam_limitsअंततः इसे बदल दिया जाएगा कि एक बार cgroups को व्यापक रूप से गोद लेने का लाभ मिलेगा।
ब्राचली
इसके अलावा, चूंकि यह लगता है कि ओपी संसाधन उपयोग नीतियों के साथ खेल रहा है, इसलिए cgroupsवे नेटवर्क और सीपीयू उपयोग के लिए बेहतर नॉब देंगे।
ब्राचली
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.