フォークボムを停止して検出する方法

#include <stdlib.h>
#include <unistd.h>

int main()
{
   while(1)
      fork();
}

これはフォーク爆弾のコードです。

私たちの大学では、telnet、つまりクライアントサービスプロトコルを介して接続します。約100台のシステムがサーバーに接続されています。突然サーバーが遅くなり、しばらくしてからクラッシュしました。sombodyがフォーク爆弾を実装していることを知りました。

どのシステムでフォークボムが実装されているかをどのように検出できますか？そして、どうすればそれを止めることができますか？

1つの方法は、1人のユーザーが所有できるプロセスの最大数を制限することです。それを停止し、どのシステムから実装されているかを知る方法はありますか？

1つの方法は、ユーザーが実行できるプロセスの数を制限することです。

rootとしてログインし、このファイルを編集して、ユーザーを追加し、制限を構成します。

# vi /etc/security/limits.conf

この行をファイルに追加します

john hard nproc 10

これで、ユーザーjohnは10個のプロセスのみを作成できます。

実行中のフォーク爆弾を停止するにkillall <name>は、爆弾のすべてのプロセスを殺すために使用できる場合があります。ただし、フォーク爆弾は通常、システムに非常に高い負荷をかけるため、システムにSSH接続したり実行したりできない場合があります。そのため、再起動が必要になる場合があります。

すべてのユーザーがシステム上に自分のアカウントを持っている場合は、全員のホームディレクトリを確認して実行可能ファイルを検索するだけです。彼はソースコードもアップロードしているので、それを見つけるのは難しくないはずです。すべての学生の共有アカウントである場合は、運が悪いです。特に、ユーザーのtelnetまたはsshセッションが終了した後、誰がそれを開始したかを知る機会がありません。

ただし、そのフォーク爆弾を爆発させたユーザーを罰する代わりに、フォーク爆弾を武装解除するようにシステムの構成を修正する必要があります。ユーザーごとにプロセス制限を設定して/etc/security/limits.conf、フォーク爆弾が制御不能になるのを防ぐことができます。たとえば、プロセスが50だけの場合、フォーク爆弾はあまりダメージを与えません。