32.6. DoS 攻撃を防ぐためのユーザーセッションおよびメモリーの制限
証明書認証は、別のユーザーの権限を借用する攻撃者に対して Web サーバー cockpit-ws のインスタンスを分離して孤立させることで保護されます。ただし、これによりサービス拒否攻撃 (DoS) 攻撃が発生する可能性があります。リモートの攻撃者は大量の証明書を作成し、異なる証明書を使用してそれぞれ cockpit-ws に多数の HTTPS 要求を送信することができます。
この DoS を防ぐために、これらの Web サーバーインスタンスの共同リソースは制限されます。デフォルトでは、接続数に制限され、メモリー使用量の制限は 200 スレッドと、75% (ソフト) または 90% (ハード) のメモリーに設定されます。
以下の手順では、接続およびメモリーの数を制限することで、リソースの保護を説明します。
手順
端末で
system-cockpithttps.slice設定ファイルを開きます。# systemctl edit system-cockpithttps.slice
TasksMaxを 100 に、CPUQuotaを 30% に制限します。[Slice] # change existing value TasksMax=100 # add new restriction CPUQuota=30%
変更を適用するには、システムを再起動します。
# systemctl daemon-reload # systemctl stop cockpit
これで、新しいメモリーとユーザーセッションの制限により、Web サーバー cockpit-ws が DoS 攻撃から保護されるようになりました。