[gentoo-user-de] Limits setzen

[gentoo-user-de] Limits setzen

[Daniel Rindt]

[-- Attachment #1: Type: text/plain, Size: 924 bytes --]

Hallo,

ich habe auf einem Webserver öfter das Problem, das CMS Systeme von
Kunden mit sicherheitslücken behaftet sind und es öfter dazu kommt das
Perl Scripte ausgeführt werden unter dem entsprechenden User. Auf dem
Server ist Confixx installiert mit mod_suphp ähnlich dem fast_cgi.
(Bitte keine Confixx diskussionen!)

Ich wollte jetzt errreichen, mit /etc/limits das alle Prozesse unter den
Confixx Usern die mit Namen "web" beginnen, nach 30 Sekunden abgewürgt
werden.
Um das ganze zu verstehen, würde ich gerne einmal wissen ob ich es so
richtig gemacht habe:
=== /etc/limits
web* L0 T1
===

es sollen alle Benutzer die mit "web" anfangen keine Logins ermöglicht
werden und gleichzeitig soll jeder gestartete Prozess nur maximal eine
Minute lang laufen.

Wäre schön wenn sich jemand mit mir darüber austauscht, da ich bisher
dazu nur dürftige Dokumentation gefunden habe.

Vielen Dank 
Daniel

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] Limits setzen

[Erik Wasser]

On Wednesday 05 October 2005 09:45, Daniel Rindt wrote:

> Wäre schön wenn sich jemand mit mir darüber austauscht, da ich bisher
> dazu nur dürftige Dokumentation gefunden habe.

Was möchtest du diskutieren?

Hast du das ausprobiert? Hat es geklappt?

Wo hast du die Infos gefunden, daß Usernamen wie 'web*' möglich sind? 
Die LIMITS(5) gibt das bei mir nicht her.

-- 
So long... Fuzz

-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Limits setzen

[Hans-Werner Hilse]

Moin,

das Thema finde ich recht interessant, ich habe nämlich immer noch ein
CGI an den Hacken, das bisweilen den kompletten Speicher auffrisst.
Schlecht programmiert, soll aber im Einsatz sein. Anstatt einmal im
Monat den Server neu zu booten (weil der OOM-Killer den falschen
erschlagen hat), wäre so ein Limits-Setting einfacher... aber zur
Diskussion:

On Wed, 5 Oct 2005 10:29:43 +0200
Erik Wasser <erik.wasser@iquer.net> wrote:

> On Wednesday 05 October 2005 09:45, Daniel Rindt wrote:
> 
> > Wäre schön wenn sich jemand mit mir darüber austauscht, da ich bisher
> > dazu nur dürftige Dokumentation gefunden habe.
> 
> Was möchtest du diskutieren?

Wie funktioniert das eigentlich? Wird der Resourcenverbrauch ständig
gepollt oder gibt es Signale, die bei Erreichen bestimmter Limits
gesendet werden?
 
> Hast du das ausprobiert? Hat es geklappt?

Interessiert mich auch (s.o.). Allerdings habe ich in
/usr/doc/shadow-4.0.12/txt/README.pam.gz gelesen, dass ohnehin die
Limits nicht via shadow laufen, wenn PAM aktiviert ist. Denn dann
ziehen wiederum die Einstellungen aus /etc/security/limits.conf.

> Wo hast du die Infos gefunden, daß Usernamen wie 'web*' möglich sind? 
> Die LIMITS(5) gibt das bei mir nicht her.

ich habe außer "*" (also einem Sternchen allein) auch keinen Hinweis
auf mögliche Wildcards gefunden. Allerdings: Bei mir gibt es
seltsamerweise kein limits(5). Vielleicht liegt's daran, dass das bei
der Benutzung von PAM gar nicht installiert wird?!?

In den PAM-Einstellungen lässt sich aber auch mit Gruppennamen arbeiten
- das dürfte wohl, PAM vorausgesetzt, die einfachste Methode sein. Auch
hierfür habe ich keine manpage gefunden, aber wiederum im
doc-Verzeichnis was:
/usr/share/doc/pam-0.78-r2/modules/README.pam_limits.gz

Ich bin aber auch an Erfahrungsberichten aller Art in diesem Bereich
sehr interessiert!

Gruß,

Hans-Werner


-- 
gentoo-user-de@gentoo.org mailing list