Abuserzy
[ uosiu@rumburak ] ~ $uptime
01:57:40 up 78 days, 4:43, 5 users, load average: 55.70, 37.92, 17.22
Tak, ktos mi puscil fork-bombe na serwerze. wredna ta sztuka byla, na szczescie mialem jedno polaczenie ssh otwarte. Godzine czekalem na su -, po czym kolejne 30 minut trwalo pkill -9 czesc.txt. A moglo byc gorzej.Osoba ta dostala ode mnie /sbin/nologin, dodatkowo w ramach odpowiedzialnosci zbiorowej kazdy teraz ma limit procesow na 30 (tak jak bylo), dorzucilem limit na pamiec ram- 20mb (ulimit -m) oraz noexec na /home. Amen.
Przemyslenia na niedziele: Robie Wam przyjemnosc udostepniajac darmowe shelle. nie mam z tego zadnego pozytku. A jednak zawsze sie musi znalezc jakas dziwka, ktora musi koniecznie cos zniszczyc. Dlaczego? Bo to nie moje i ma duzy uptime. Zachowuje sie jak piecioletnie dziecko, chociaz moj czteroletni brat zachowuje sie lepiej od tego kogos. O dziwo ta osoba uzywa oprogramowiania na GPLu i zadnego innego. Czyzby to byl przyklad trolla, ktoremu idee stallmana sa obce? Przemyslcie to sobie. Ja sie zastanawiam czy gim34 nie przeniesc w inne miejse, zmienic nazwe na remedis i pobierac symboliczne oplaty za shelle. 5pln za lifetime account.
January 13th, 2007 at 7:04 pm
Nie mow o mnie dziwka. Sie ustawia limity, to podstawa bezpieczenstwa, a nie sie placze, jak ktos cos takiego wykorzysta.
January 13th, 2007 at 7:06 pm
BTW. to nie byla forkbomba, tylko fork && mem bomba ;]
January 14th, 2007 at 11:11 am
Tak, serwer dzialal na zasadzie wzajemnego zaufania. To nie sztuka ustawic limity. Sztuka jest zaufac komus obcemu iz nie zniszczy dziela, ktore ktos zbudowal.
January 14th, 2007 at 12:22 pm
Tak, ja tez udostepnialem szele, jakos znajdywalo sie co jakis czas pelno abuserow, uzytkownikom sie nie ufa. Zabezpieczaj co mozesz, poza tym, to tylko chwila i nikt nic nie zauwaza… tylko trzeba umiec.
January 14th, 2007 at 1:22 pm
ulimit -m, ulimit na procesy, noexec na /home, na / tam gdzie sie da brak mozliwosci pisania, co jeszcze bys poradzil? blokada selinuksowa na forka?
January 14th, 2007 at 4:30 pm
C????, podÄ???ajÄ?c za wskazaniami @Staszka, najlepiej doprowadziÄ? konta u??ytkownik??w do stanu Kononowicza: “??eby nie by??o bandyctwa, ??eby nie by??o z??odziejstwa, ??eby nie by??o niczego”, czyli zlikwidowaÄ? wszystko, ??eby by??a pewno??Ä?, ??e ca??e z??o p??jdzie siÄ? j…aÄ?. Mo??e pomo??e?
January 15th, 2007 at 8:50 pm
@Longer:
Adminowales kiedys? Wiesz, ze uzytkownicy sprzedaja, pozyczaja konta, maja latwe hasla, sa durni itd? Dlatego trzeba jak najlepiej zabezpieczyc serwer, a zabranie im prawa do wykorzystania calego ramu (tylko rozsadne limity) dziala na korzysc innych uzytkownikow, bo jeden idiota nie moze sobie uruchomic procesu, ktory zawali caly ram, albo zamuli procka (tutaj rekordzista u mnie byl program do generowania statystyk z logow irssi, ktore mialy duuuuzo megabajtow) w zamian lepiej dac uzytkownikom maile, dobre konta www z baza danych, dobry dostep do irca, a takie rzeczy.
A noexec na /home to juz przesada, za to nosuid jest calkiem elo. A mozliwosc pisania na / to chyba glupota.
January 16th, 2007 at 10:35 am
@Staszek:
Nigdy nie adminowa??em, a to dlatego, bo nigdy nie dane mi by??o zostaÄ? w??a??cicielem serwera. Je??li ju??, to by??by to zapewne jaki?? ma??y serwer z kilkoma kontami dla zaufanych os??b. @Uosiu, najlepiej nie likwiduj kont, tylko nar??b ogranicze?? (np. brak mo??liwo??ci uruchamiania proces??w na serwerze). A co do ??atwych hase??… ja mam ??atwe do wklepania i zapamiÄ?tania has??o jedno i to samo do wszystkiego, jednak na tyle trudne, ??e zgadnÄ?Ä? siÄ? nie da
January 16th, 2007 at 5:54 pm
Tak, gdzies ci przypadkiem podsluchaja haslo i tracisz wszystko. ja na rzeczy krytyczne mam haslo 49 znakow klasy “Aa0%” ktore nigy nie wystapi w zadnym slowniku