预防 Linux 中的 Bash 分支炸弹

---

简介

Bash 分支炸弹是一种拒绝服务 (DoS) 攻击，它可以通过压垮系统资源来崩溃或冻结 Linux 系统。攻击使用恶意脚本创建大量子进程，导致系统耗尽可用资源，例如内存或 CPU 时间。这些子进程然后会产生更多子进程，循环持续下去，直到系统无法响应。

对于系统管理员来说，预防 Linux 中的 Bash 分支炸弹对于确保系统的稳定性和可用性至关重要。在本文中，我们将探讨什么是 Bash 分支炸弹，它的工作原理以及一些预防方法。

什么是 Bash 分支炸弹？

Bash 分支炸弹是一种拒绝服务 (DoS) 攻击，它利用 Linux 中的 fork() 系统调用。fork() 用于通过复制调用进程来创建一个新进程。Bash 分支炸弹是由一个恶意脚本创建的，该脚本递归地调用自身，创建大量子进程。子进程然后调用自身，循环持续下去，创建指数级增长的进程，直到系统崩溃或冻结。

这是一个 Bash 分支炸弹的示例：

:(){ :|:& };:

这是一个单行命令，它递归地调用一个名为 ":" 的函数。该函数将其输出管道传输到同一函数的另一个调用，而与号 (&) 将进程发送到后台。这将创建一个子进程，然后复制该子进程并创建另一个子进程，循环持续下去，直到系统崩溃或冻结。

Bash 分支炸弹是如何工作的？

Bash 分支炸弹通过递归调用一个创建子进程的函数来工作。每个子进程都会创建更多子进程，循环持续下去，直到系统耗尽可用资源。当使用 fork() 创建一个新进程时，它会复制父进程，包括其内存和文件描述符。然后，新进程独立于父进程，可以执行自己的代码。这使得 Bash 分支炸弹能够创建指数级增长的子进程，从而压垮系统的资源。

预防 Linux 中的 Bash 分支炸弹

有几种方法可以预防 Linux 中的 Bash 分支炸弹。这些方法包括限制进程数量、设置资源限制以及配置系统设置。

• 限制进程数量 - 预防 Bash 分支炸弹的一种方法是限制可以创建的进程数量。这可以通过设置每个用户或系统范围内的最大进程数来完成。可以使用 ulimit 命令设置最大进程数。

要为用户设置最大进程数，请使用以下命令：

ulimit -u <number_of_processes>

要为系统范围设置最大进程数，请编辑 /etc/security/limits.conf 文件并添加以下几行：

* hard nproc <number_of_processes>
* soft nproc <number_of_processes>

• 设置资源限制 - 预防 Bash 分支炸弹的另一种方法是为进程设置资源限制。资源限制定义了进程可以使用的最大资源量，例如 CPU 时间、内存和磁盘空间。可以使用 ulimit 命令或通过编辑 /etc/security/limits.conf 文件来设置这些限制。

要为进程设置最大 CPU 时间，请使用以下命令：

ulimit -t <seconds>

要为进程设置最大内存量，请使用以下命令：

ulimit -m <megabytes>

要为进程设置最大磁盘空间，请使用以下命令：

ulimit -f <kilobytes>

要为系统范围设置资源限制，请编辑 /etc/security/limits.conf 文件并添加以下几行：

* hard cpu <seconds>
* soft cpu <seconds>
* hard rss <megabytes>
* soft rss <megabytes>
* hard fsize <kilobytes>
* soft fsize <kilobytes>

• 配置系统设置 - Linux 有几个可以配置的系统设置，以预防 Bash 分支炸弹。这些设置包括设置最大进程数、最大内存量和所有进程可以使用最大 CPU 时间。

要为系统范围设置最大进程数，请编辑 /etc/sysctl.conf 文件并添加以下一行：

kernel.pid_max = <number_of_processes>

要为系统范围设置最大内存量，请编辑 /etc/sysctl.conf 文件并添加以下一行：

vm.max_map_count = <megabytes>

要为系统范围设置最大 CPU 时间，请编辑 /etc/security/limits.conf 文件并添加以下一行：

* hard cpu <seconds>

预防 Linux 中 Bash 分支炸弹的其他方法

• 使用进程会计 - 进程会计是 Linux 的一个功能，它跟踪每个进程使用的系统资源。通过使用进程会计，系统管理员可以监控和限制每个进程使用的资源，这有助于预防 Bash 分支炸弹。

要启用进程会计，请使用以下命令：

sudo apt-get install acct

安装后，可以通过将以下行添加到 /etc/default/acct 文件来启用进程会计：

ENABLE_ACCT=1

• 使用 cgroups - 控制组 (cgroups) 是 Linux 的一个功能，它允许系统管理员限制进程使用的资源。与上面描述的方法相比，Cgroups 提供了一种更细粒度的资源管理方法。通过使用 cgroups，系统管理员可以对 CPU 使用率、内存使用率和其他系统资源设置限制。

要使用 cgroups，请使用以下命令安装 cgroup-tools 包：

sudo apt-get install cgroup-tools

安装后，可以通过在 /etc/cgconfig.d 目录中创建一个配置文件来配置 cgroups。例如，要将用户组“webapps”中所有进程的 CPU 使用率限制为 50%，请创建一个名为“webapps.conf”的配置文件，内容如下：

group webapps {
   cpu {
      cpu.shares = 512;
   }
}

• 使用进程监控器 - 进程监控器是一个管理和监控其他程序执行的程序。通过使用进程监控器，系统管理员可以限制可以创建的进程数量并监控每个进程的资源使用情况。一些流行的 Linux 进程监控器包括 systemd、Upstart 和 supervisord。

结论

Bash 分支炸弹对 Linux 系统的稳定性和可用性构成严重威胁。对于系统管理员来说，预防 Linux 中的 Bash 分支炸弹对于确保系统的平稳运行至关重要。限制进程数量、设置资源限制和配置系统设置是预防 Bash 分支炸弹的一些方法。通过实施这些方法，系统管理员可以保护其系统免受这种类型的拒绝服务攻击。