ডকারের ধারকের ভিতরে কাঁটাচামচ বোমা রোধ করুন

আমি বর্তমানে ব্যবহারকারীর জন্য সীমিত সংখ্যক প্রক্রিয়া নিয়ে লড়াই করছি sandbox।

আমি প্রক্রিয়াগুলির মধ্যে সীমাবদ্ধতার /etc/security/limits.confমতো সীমাবদ্ধ করেছি :

sandbox            hard    nproc            100

তবে আমি sandboxব্যবহারকারী হিসাবে কনটেইনারটিতে সংযোগ রাখতে চাইলে এসএসএস ফিরে আসে:

shell request failed on channel 0

সুতরাং আমি হিসাবে লগ ইন করেছি rootএবং sandboxব্যবহারকারীর দ্বারা কতগুলি প্রক্রিয়া চলছে তা যাচাই করেছি তবে এটি 5 এরও কম।

তাহলে এসএসএসের মাধ্যমে আমাকে লগইন করতে বাধা দেওয়া কী হতে পারে? ব্যবহারকারীর
জন্য সীমা ssh লগইন সেট না sandboxকরে ঠিক আছে।

বা কাঁটাচামচ বোমা আক্রমণ রোধ করার জন্য অন্য কোনও উপায় আছে?

কোনও এসএসডি সংযোগ করার সময় কোনও ত্রুটি /var/log/auth.log (ডেবিয়ান-ভিত্তিক ওএসে, বা রেডহাট-ভিত্তিক সিস্টেমে সুরক্ষা) লগ ইন করা হয়

যদি এটি না থেকে, সেট LogLevel VERBOSEমধ্যে /etc/ssh/sshd_configএবং পুনরায় লোড করুন sshd কমান্ড। এটি আপনাকে দেখিয়ে দেবে যে পরবর্তী সময়ে এসএসডি কেন আপনার সংযোগ প্রত্যাখ্যান করছে।

এটি বলেছিল, আপনার কাঁটাচামচ-সীমাবদ্ধতার দিকে ফিরে যান: ডকার মেশিনগুলি লিনাক্সের একটি ধারক সিস্টেম এলএক্সসির উপর ভিত্তি করে। LXC প্রতিটি ধারকটির জন্য সীমাবদ্ধতা পরিচালনা করতে CGROUPS ব্যবহার করছে।

/ sys / fs / cgroups এ, আপনি চলমান LXC এর জন্য কোনও সীমা নির্ধারণ করতে পারেন, এবং / var / lib / lxc / vmname / config এ আপনি বুটটাইমের সময় প্রয়োগ করা সীমাগুলি সেটআপ করতে পারবেন।

সিগ্রুপে প্রক্রিয়া সংখ্যার সীমাবদ্ধ করা টাস্ক কাউন্টার সাবসিস্টেম দ্বারা সম্পন্ন করা হয় (লিনাক্স কার্নেলে যোগ করা হয়েছে http://lkML.iu.edu//hypermail/linux/kernel/1109.0/01455.html )

সাম্প্রতিক পর্যায়ে পর্যাপ্ত লিনাক্স কার্নেলের সাহায্যে, একটি সিগ্রুপের জন্য অনুমোদিত প্রসেসের সংখ্যা সীমাবদ্ধ করা আপনার lxc এর কনফিগার ফাইলে এই ধরণের লাইন যুক্ত করে করা হয়:

lxc.cgroup.tasks.limit = 1024 

সর্বাধিক 1024 প্রসেসের জন্য

(অস্বীকৃতি: তথ্যের সত্যিকারের মেশিনে চেক করা হয়নি, যদিও তা নিশ্চিত করতে হবে)