5.7. 限制用户会话和内存以防止 DoS 攻击
证书验证被分离和隔离 cockpit-ws
Web 服务器的实例保护,使其免受要模拟其他用户的攻击者的攻击。但是,这会引入了一个潜在的拒绝服务(DoS)攻击:远程攻击者可以创建大量证书,并将大量 HTTPS 请求发送到 cockpit-ws
各自使用不同的证书。
为防止此类 DoS 攻击,这些 Web 服务器实例的集体资源是有限的。默认情况下,连接数和内存使用率的限制被设置为 200 个线程和 75 % (软)或 90 %(硬)内存限制。
示例流程通过限制连接数和内存演示了资源保护。
步骤
在终端中,打开
system-cockpithttps.slice
配置文件:# systemctl edit system-cockpithttps.slice
将
TasksMax
限制为 100,将CPUQuota
限制为 30% :[Slice] # change existing value TasksMax=100 # add new restriction CPUQuota=30%
要应用这些更改,请重启系统:
# systemctl daemon-reload # systemctl stop cockpit
现在,新内存和用户会话降低了对 cockpit-ws
Web 服务器的 DoS 攻击的风险。