30.6. Limitación de las sesiones de usuario y de la memoria para evitar un ataque DoS
La autenticación de certificados se protege separando y aislando las instancias del servidor web cockpit-ws
contra los atacantes que quieran hacerse pasar por otro usuario. Sin embargo, esto introduce un potencial ataque de denegación de servicio (DoS): Un atacante remoto podría crear un gran número de certificados y enviar un gran número de peticiones HTTPS a cockpit-ws
, cada una de ellas utilizando un certificado diferente.
Para evitar este DoS, los recursos colectivos de estas instancias del servidor web están limitados. Por defecto, los límites al número de conexiones y al uso de la memoria se establecen en 200 hilos y un límite de memoria del 75% (suave) / 90% (duro).
El siguiente procedimiento describe la protección de los recursos limitando el número de conexiones y la memoria.
Procedimiento
En el terminal, abra el archivo de configuración
system-cockpithttps.slice
:# systemctl edit system-cockpithttps.slice
Limite el
TasksMax
a 100 yCPUQuota
a 30%:[Slice] # change existing value TasksMax=100 # add new restriction CPUQuota=30%
Para aplicar los cambios, reinicie el sistema:
# systemctl daemon-reload # systemctl stop cockpit
Ahora, los nuevos límites de memoria y de sesión de usuario protegen al servidor web cockpit-ws
de los ataques DoS.