Вопросы Теги

Почему бы не установить MaxSessions OpenSSH на 1000000? [закрыто]

Эта команда записывает строку, состоящую из семи символов '.dump' , за которой следует символ новой строки, в sqlite команда. (Всего 12 байт.)

Команда sqlite не сможет понять инструкцию и ничего не будет записывать в целевой файл bacula.sq , сообщая об ошибке : неполный SQL: '.dump' в stderr .

Возможно, вы имели в виду это вместо того, чтобы использовать символы одинарных кавычек ' вместо знаков апострофа : 

echo '.dump' | sqlite bacula.db > bacula.sq
4
28.12.2016, 22:23
3 ответа

Есть ли причина не устанавливать его на 1000000?

Да. Потому что если вы запустите скрипт, который случайно продолжает потреблять ssh-сессии, вы рискуете DoSинфицировать свой собственный сервер. Вы действительно хотите столкнуться с ситуацией, когда другие приложения на том же сервере больше не смогут открывать файлы? Количество открытых дескрипторов файлов ограничено параметром /proc/sys/fs/file-max, и обычно значение по умолчанию меньше 1M.

Вы должны установить максимальное значение, которое, по вашему мнению, когда-либо понадобится, плюс подушка безопасности, а не какое-то произвольно огромное значение.

4
27.01.2020, 20:47

Всегда найдется причина, почему нужно что-то ограничивать. 10 - это "разумное значение по умолчанию". Меньше - для более строгих случаев использования (предотвращение доступа к оболочке или разрешение только одного канала), увеличение до более может также иметь смысл, если вы действительно знаете, что будете выдавать миллионы сессий. Я редко открываю больше 4.

На вопрос:

Есть ли причина не устанавливать его на 1000000?

max_sessions переменная имеет тип int, поэтому максимально возможное значение равно 2147483647. Ничто не мешает вам установить свой идеальный миллион.

... но, как уже говорилось, для этого нет веских причин.

Использование большего числа сессий не оказывает существенного влияния на безопасность (как только одна сессия злоумышленника будет открыта, вам конец), но может быть снижение производительности при использовании большего числа сессий.

8
27.01.2020, 20:47

Каждый сеанс SSH использует ресурсы. Некоторые быстрые тесты показывают, что в типичном сеансе используется один идентификатор процесса, 500 КБ неразделенной памяти и семь файловых дескрипторов. Все это ограниченные ресурсы, и если они будут израсходованы, ваш сервер перестанет отвечать или будет недоступен.

Помните, что вы не единственный, кто подключается к вашему серверу. Существует ряд ботнетов, которые сканируют SSH-серверы с недостаточной защитой, и они также будут использовать ресурсы.

0
27.01.2020, 20:47

Теги

Похожие вопросы