33.7. DoS 攻撃を防ぐためのユーザーセッションおよびメモリーの制限

証明書認証は、別のユーザーの権限を借用しようとする攻撃者に対して Web サーバー cockpit-ws のインスタンスを分離して孤立させることで保護されます。ただし、これによりサービス拒否 (DoS) 攻撃が発生する可能性があります。リモートの攻撃者は、多数の証明書を作成し、別の証明書を使用して、多数の HTTPS 要求を cockpit-ws に送信できます。

この DoS を防ぐために、これらの Web サーバーインスタンスの共同リソースは制限されます。デフォルトでは、接続数に制限され、メモリー使用量の制限は 200 スレッドと、75% (ソフト) または 90% (ハード) のメモリーに設定されます。

以下の手順では、接続およびメモリーの数を制限することで、リソースの保護を説明します。

手順

  1. 端末で system-cockpithttps.slice 設定ファイルを開きます。

    # systemctl edit system-cockpithttps.slice
  2. TasksMax100 に、CPUQuota30% に制限します。

    [Slice]
    # change existing value
    TasksMax=100
    # add new restriction
    CPUQuota=30%
  3. 変更を適用するには、システムを再起動します。

    # systemctl daemon-reload
    # systemctl stop cockpit

これで、新しいメモリーとユーザーセッションの制限により、Web サーバー cockpit-ws が DoS 攻撃から保護されるようになりました。