Catal (fork bomb) saldirilari

Server güvenliği için yapılması gerekenler, kullanılabilecek programlar

Catal (fork bomb) saldirilari

Mesajgönderen kieroglu » 18 Mar 2005, 23:14

Bugun linuxquestions.org'da konu gundeme gelince buraya yazayim dedim.

Cogu linux dagitiminin varsayilan (ontanimli) ayarlarinda siradan bir kullanicinin calistirabilecegi surec, acabilecegi dosya sayisi v.b. parametrelere ya sinir konmamistir ya da sinirlar yuksek tutulmustur. Bilgisayarinizi bir ev bilgisayari olarak kullanacaksaniz elbette bu bir sorun olusturmuyor. Ancak sunucu olarak kullanacaksaniz, ozellikle surec sayisina kisitlama getirilmemesi sonucu bu aciktan yararlanan saldirilar yasamaniz mumkun.

Bu saldirilar sistem guvenlik onlemlerini asan saldirilar degil; yani sifreleriniz, dosyalariniz guvendedir. Ancak, sisteminizin tum islemci gucu ve belleginin kullanilmasi sonucu sistem donma noktasina gelebilir.

Sahip oldugunuz kullaniciya konmus kisitlamalari gormek icin

Kod: Tümünü seç
ulimit -a


komutunu kullanabilirsiniz. Calisabilecek surec sayisini diyelim 500 ile sinirlamak istersek

ulimit -u 500

dememiz yeterli. Sistem yoneticisi bu komutu /etc/profiles dosyasina koyarak siniri herkes icin gecerli yapabilir.

Ancak sinirlar iki cesit: Gevsek (soft) ve kati (hard). Gevsek sinirlar asilabiliyor. En guvenli yol, kati sinirlarla bu isi cozmek. Bunun icin, sisteminizin kullandigi guvenlik sistemine gore /etc/limits (shadow kullananlar icin) ya da /etc/security/limits.conf (PAM kullananlar icin) dosyalarini duzenleyebilirsiniz.

Ornegin, /etc/security/limits.conf ile, "users" grubundaki tum kullanicilar icin en fazla surec sayisinin 500 olmasini istiyorsak, dosyaya

Kod: Tümünü seç
@users           hard    nproc           500


satirini ekliyoruz.

Onlem alindiktan sonra bash altinda asagidaki kodun sistemi zorlamamasi gerekir:
Kod: Tümünü seç
:(){ :&:;};:

(Onlem almadiysaniz bu kodu denemeye kalkmayin).

Surec sayisi icin makul sinirin ne oldugu, bilgisayarinizda calisan programlara gore degisir. Cok dusuk tutulmasi halinde kullanicilar KDE, Gnome gibi programlari bile kullanamayabilirler.
Kullanıcı avatarı
kieroglu
Forum Gurusu
Forum Gurusu
 
Mesajlar: 2301
Kayıt: 13 Mar 2002, 01:00
Konum: Seattle, WA

Mesajgönderen LINDOWS » 03 Nis 2005, 15:26

Merhaba,
Bahsettiginiz dosyalar Slackware 10.1 altinda mevcut degil. Slack de bu ayarlari nasil yapariz ?
Saygilar...
HER ZAMAN LINUX SIZINLE OLSUN
<a href="http://www.atlihandundar.com"> Sitem</a>
Kullanıcı avatarı
LINDOWS
Deneyimli Üye
Deneyimli Üye
 
Mesajlar: 400
Kayıt: 09 Nis 2002, 00:00
Konum: Bursa

Mesajgönderen kieroglu » 03 Nis 2005, 15:39

/etc/limits olmadigindan emin misin? Slackware shadow kullaniyor, eger Dropline Gnome kurduysan onu PAM ile degistirmistir.
Kullanıcı avatarı
kieroglu
Forum Gurusu
Forum Gurusu
 
Mesajlar: 2301
Kayıt: 13 Mar 2002, 01:00
Konum: Seattle, WA

Mesajgönderen Torvalds » 03 Nis 2005, 16:19

evet Slackware 10.1 de bu bahsettigin dosyalar yok...
Slackware için Türkce site: http://www.FoMus.org
Kullanıcı avatarı
Torvalds
Üye
Üye
 
Mesajlar: 120
Kayıt: 14 Oca 2005, 01:00
Konum: Eskişehir/KKTC

Mesajgönderen kieroglu » 06 Nis 2005, 19:05

Dropline kurulu mu?

Eger shadow kullaniliyor da denilen dosya yoksa, kendin olusturursan calisir diye tahmin ediyorum. Bende PAM oldugu icin o dosya yok, olsa bakip yerini soylerdim.
Kullanıcı avatarı
kieroglu
Forum Gurusu
Forum Gurusu
 
Mesajlar: 2301
Kayıt: 13 Mar 2002, 01:00
Konum: Seattle, WA

Mesajgönderen Torvalds » 06 Nis 2005, 20:39

dropline kurulu degil.. yani ne oldugnu bilmiorum ama baktim da kurulu deilmis :lol:
Slackware için Türkce site: http://www.FoMus.org
Kullanıcı avatarı
Torvalds
Üye
Üye
 
Mesajlar: 120
Kayıt: 14 Oca 2005, 01:00
Konum: Eskişehir/KKTC

Mesajgönderen kieroglu » 07 Nis 2005, 02:29

O zaman dedigim gibi dosyayi kendin olusturmayi dene.

man limits

ile format hakkinda bilgi alabilirsin.
Kullanıcı avatarı
kieroglu
Forum Gurusu
Forum Gurusu
 
Mesajlar: 2301
Kayıt: 13 Mar 2002, 01:00
Konum: Seattle, WA

Mesajgönderen nurhan » 20 May 2005, 14:14

Bunu Slackwarede tam olarak yapan varmi /etc/limits ??? eger varsa aciklayabilir mi :?:
Kullanıcı avatarı
nurhan
Yeni Üye
Yeni Üye
 
Mesajlar: 9
Kayıt: 15 Kas 2004, 01:00
Konum: izmir

Mesajgönderen tetik007 » 20 May 2005, 14:32

Slackware 10 da /etc/limits mevcut.Zaten slackware limit ayarları gayet güzel yapılmış.
ulimit -a çıktısı
Kod: Tümünü seç
core file size        (blocks, -c) 0
data seg size         (kbytes, -d) unlimited
file size             (blocks, -f) unlimited
max locked memory     (kbytes, -l) unlimited
max memory size       (kbytes, -m) unlimited
open files                    (-n) 1024
pipe size          (512 bytes, -p) 8
stack size            (kbytes, -s) unlimited
cpu time             (seconds, -t) unlimited
max user processes            (-u) 2047
virtual memory        (kbytes, -v) unlimited

her halde bu limitleri geçmem mümkün olmaz.En azından makinem bunu kaldırmaz.
Bilgi Saklı Kalmamalıdır
tetik007
Deneyimli Üye
Deneyimli Üye
 
Mesajlar: 308
Kayıt: 12 Ara 2003, 01:00
Konum: /dev/null(ankara)

Mesajgönderen gokhanweb » 06 Eki 2005, 19:22

bende çıkan sonuçta bu:
Kod: Tümünü seç
core file size        (blocks, -c) 0
data seg size         (kbytes, -d) unlimited
file size             (blocks, -f) unlimited
max locked memory     (kbytes, -l) 4
max memory size       (kbytes, -m) unlimited
open files                    (-n) 1024
pipe size          (512 bytes, -p) 8
stack size            (kbytes, -s) 10240
cpu time             (seconds, -t) unlimited
max user processes            (-u) 7168
virtual memory        (kbytes, -v) unlimited


Şimdi Slackware deki bikaç yerle farklılık var.Doğru olanı Slackware mi yapmış yoksa CentOS mu?
Kullanıcı avatarı
gokhanweb
Üye
Üye
 
Mesajlar: 48
Kayıt: 06 Eki 2005, 00:00

Mesajgönderen kieroglu » 07 Eki 2005, 01:33

Tek bir dogru yok. Makina kullanim amaci ve kapasitesine gore yanit degisir. Genelde en zorlayici kisim max user processes bolumu. Ortalama bir makina icin 1024 bile buyuk kacabilir. Ben 200'de tutuyorum, yetiyor.
Kullanıcı avatarı
kieroglu
Forum Gurusu
Forum Gurusu
 
Mesajlar: 2301
Kayıt: 13 Mar 2002, 01:00
Konum: Seattle, WA

Mesajgönderen gokhanweb » 07 Eki 2005, 01:37

çok teşekkürler
Kullanıcı avatarı
gokhanweb
Üye
Üye
 
Mesajlar: 48
Kayıt: 06 Eki 2005, 00:00

ulimit

Mesajgönderen cygwin » 16 Eki 2005, 19:43

Eğer yoğun bir şekilde site barındıran bir web server ise ulimit 500 yapmak yanlışdır. web siteleri sorun verir ve açmaz çünkü bir web server bu limitleri normalde aşar ama farkılı server uygulamaları için test etmek gerekiyor onun için bir şey diyemicem.
Kullanıcı avatarı
cygwin
Üye
Üye
 
Mesajlar: 79
Kayıt: 06 Kas 2004, 01:00
Konum: localhost

Mesajgönderen gokhanweb » 31 Eki 2005, 18:09

yeni sunucumdaki değerler şu şekilde:
Kod: Tümünü seç
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
file size               (blocks, -f) unlimited
pending signals                 (-i) 1024
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 65535
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
stack size              (kbytes, -s) 10240
cpu time               (seconds, -t) unlimited
max user processes              (-u) 16242
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited


max user processes in değer 16242.
çok fazla sanırım.konuşulan değerlerden 10 kat daha fazla seviyelerde.sanıyorum bu değeri düşürmem gerekiyor.
tahmini yapmam gereken değerler ne seviyelerde olmalı?
iyi çalışmalar.
Kullanıcı avatarı
gokhanweb
Üye
Üye
 
Mesajlar: 48
Kayıt: 06 Eki 2005, 00:00

Mesajgönderen gokhanweb » 18 Kas 2005, 00:19

arkadaşlar ben bu ulimit değerlerini ayarlayamıyorum.
ayarlıyorum aslında ama sunucuyu resetleyince tekrar eski değerlere dönüyor.
nasıl ayarlayabilirim bu değerleri.
Kullanıcı avatarı
gokhanweb
Üye
Üye
 
Mesajlar: 48
Kayıt: 06 Eki 2005, 00:00

Sonraki

Dön Güvenlik uygulamaları

Kimler çevrimiçi

Bu forumu gezen kullanıcılar: Hiç bir kayıtlı kullanıcı yok ve 2 misafir

cron