31.7. DoS 공격을 방지하기 위해 사용자 세션 및 메모리 제한
인증서 인증은 다른 사용자를 가장하려는 공격자와 cockpit-ws 웹 서버의 인스턴스를 분리하고 격리하여 보호됩니다. 그러나 이로 인해 잠재적인 서비스 거부 (DoS) 공격이 발생합니다. 원격 공격자는 많은 수의 인증서를 생성하고 각각 다른 인증서를 사용하여 cockpit-ws 에 많은 수의 HTTPS 요청을 보낼 수 있습니다.
이 DoS를 방지하기 위해 이러한 웹 서버 인스턴스의 총 리소스는 제한됩니다. 기본적으로 연결 수 및 메모리 사용량에 대한 제한은 200 스레드와 75% (소프트) / 90% (하드) 메모리 제한으로 설정됩니다.
다음 절차에서는 연결 및 메모리 수를 제한하여 리소스 보호에 대해 설명합니다.
절차
터미널에서
system-cockpithttps.slice구성 파일을 엽니다.# systemctl edit system-cockpithttps.slice
TasksMax를 100 으로 제한하고CPUQuota를 30% 로 제한합니다.[Slice] # change existing value TasksMax=100 # add new restriction CPUQuota=30%
변경 사항을 적용하려면 시스템을 다시 시작하십시오.
# systemctl daemon-reload # systemctl stop cockpit
이제 새로운 메모리 및 사용자 세션 제한이 DoS 공격으로부터 cockpit-ws 웹 서버를 보호합니다.