限制用户对系统资源的使用,可以避免拒绝服务(如:创建很多进程、消耗系统的内存等<?xml:namespace prefix = o /?>
等)这种攻击方式。这些限制必须在用户登录之前设定。例如,可以用下面的方法对系统中用
户加以限制。
第一步 编辑limits.conf文件(vi /etc/security/limits.conf),加入或改变下面这些行:
· hard core 0
· hard rss 5000
· hard nproc 20
其中core 0表示禁止创建 core文件; nproc 20把最多进程数限制到 20;rss 5000表示除了 root
之外,其他用户最多只能用 5MB内存。上面这些只对登录到系统中的用户有效。通过上面这些
限制,能更好地控制系统中的用户对进程、 core文件和内存的使用情况。星号“ *”表示的是所
有登录到系统中的用户。
第二步 必须编辑“ /etc/pam.d/login”文件,在文件末尾加入下面这一行:
session required /lib/security/pam_limits.so
加入这一行后,“/etc/pam.d/login”文件是这样的:
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow
session required /lib/security/pam_pwdb.SO
session required /lib/security/pam_limits.so
#session optional /lib/security/pam_console.SO