ulimit 是一个用于控制 shell 启动进程的资源限制的命令。通过调整 ulimit 的设置,可以提升 Debian 系统的安全性。以下是一些建议:
限制同时打开的文件数:
通过限制用户可以同时打开的文件数,可以防止恶意用户耗尽系统资源。在 /etc/security/limits.conf 文件中添加以下内容:
* soft nofile 65535
* hard nofile 65535
这将限制所有用户同时打开的文件数为 65535。根据实际需求,可以适当调整该值。
限制进程数:
通过限制用户可以启动的进程数,可以防止恶意用户创建大量进程,耗尽系统资源。在 /etc/security/limits.conf 文件中添加以下内容:
* soft nproc 4096
* hard nproc 4096
这将限制所有用户可以启动的进程数为 4096。根据实际需求,可以适当调整该值。
限制内存使用:
通过限制用户可以使用的内存量,可以防止恶意用户消耗过多内存资源。在 /etc/security/limits.conf 文件中添加以下内容:
* soft as 512M
* hard as 512M
这将限制所有用户可以使用的内存量为 512MB。根据实际需求,可以适当调整该值。
限制 CPU 使用:
通过限制用户可以使用的 CPU 时间,可以防止恶意用户消耗过多 CPU 资源。在 /etc/security/limits.conf 文件中添加以下内容:
* soft cpu 100
* hard cpu 100
这将限制所有用户可以使用的 CPU 时间为 100%。根据实际需求,可以适当调整该值。
限制 shell 登录时间:
通过限制用户在一定时间内可以登录的次数,可以防止暴力破解攻击。在 /etc/pam.d/common-auth 文件中添加以下内容:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=600
这将限制用户在 10 分钟内最多尝试登录 5 次。根据实际需求,可以适当调整该值。
限制单个用户的资源使用:
通过限制单个用户可以使用的资源量,可以防止恶意用户消耗过多系统资源。在 /etc/security/limits.conf 文件中添加以下内容:
@users soft nofile 65535
@users hard nofile 65535
@users soft nproc 4096
@users hard nproc 4096
这将限制名为 “users” 的用户组的所有用户可以同时打开的文件数为 65535,可以启动的进程数为 4096。根据实际需求,可以适当调整该值。
注意:修改配置文件后,需要重新登录或重启系统以使更改生效。在应用这些设置之前,请确保充分了解它们的含义和影响,以免对正常业务造成不必要的干扰。