5.7. DoS 공격을 방지하기 위해 사용자 세션 및 메모리 제한
인증서 인증은 다른 사용자를 가장하려는 공격자로부터 cockpit-ws
웹 서버의 인스턴스를 분리하여 격리하여 보호됩니다. 그러나 이로 인해 잠재적인 서비스 거부(DoS) 공격이 발생합니다. 원격 공격자는 다수의 인증서를 생성하고 서로 다른 인증서를 사용하여 각각 cockpit-ws
에 다수의 HTTPS 요청을 보낼 수 있습니다.
이러한 DoS 공격을 방지하기 위해 이러한 웹 서버 인스턴스의 공동 리소스가 제한됩니다. 기본적으로 연결 및 메모리 사용량 수에 대한 제한은 200 스레드 및 75 % (soft) 또는 90 % (하드) 메모리 제한으로 설정됩니다.
예제 절차에서는 연결 및 메모리 수를 제한하여 리소스 보호를 보여줍니다.
절차
터미널에서
system-cockpithttps.slice
구성 파일을 엽니다.# systemctl edit system-cockpithttps.slice
TasksMax
를 100 으로 제한하고CPUQuota
를 30% 로 제한합니다.[Slice] # change existing value TasksMax=100 # add new restriction CPUQuota=30%
변경 사항을 적용하려면 시스템을 다시 시작하십시오.
# systemctl daemon-reload # systemctl stop cockpit
이제 새 메모리 및 사용자 세션에서 cockpit-ws
웹 서버에서 DoS 공격의 위험을 줄일 수 있습니다.