Grsecurity/附錄/系統資源

Grsecurity/附錄
能力名稱和描述	系統資源	Sysctl選項

簡介

此表列出了所有可以被 grsecurity 限制的系統資源。Grsecurity 支援所有Linux 支援的資源，但對它們使用略微不同的名稱：TheRLIMIT字首被替換為RES. 例如，Linux 資源RLIMIT_CPU在 grsecurity 中被稱為RES_CPU.

有關 Linux 中資源的詳細資訊，請參見getrlimit 的手冊頁.

語法和示例

單個資源規則遵循以下語法

<resource name> <soft limit> <hard limit>

此語法的示例將是

RES_FSIZE 5K 5K

這將阻止程序建立大於 5 千位元組的檔案。

使用unlimited對於軟限制和硬限制都是有效的，表示無限資源。請注意，透過省略資源限制，將使用系統的預設限制（由 PAM 或應用程式本身設定）。如果在策略中指定了資源，則特定限制將覆蓋給定主體對系統預設限制的覆蓋。

在指定資源限制時，允許使用多個字尾。它們在下面描述。

字尾	含義
s	以秒為單位的時間量。
m	以分鐘為單位的時間量。
h	以小時為單位的時間量。
d	以天為單位的時間量。
K	以千位元組為單位的大小。
M	以兆位元組為單位的大小。
G	以千兆位元組為單位的大小。

下面提供了支援資源的完整列表。

資源名稱	含義
RES_AS	程序虛擬記憶體（地址空間）的最大大小（以位元組為單位）。
RES_CORE	核心檔案最大大小（以位元組為單位）。當為 0 時，不建立核心轉儲檔案。當不為零時，較大的轉儲將被截斷為此大小。
RES_CPU	以秒為單位的 CPU 時間限制。
RES_DATA	程序資料段的最大大小（以位元組為單位）（已初始化資料、未初始化資料和堆）。
RES_FSIZE	程序可以建立的檔案的最大大小（以位元組為單位）。
RES_LOCKS	對該程序可以建立的 flock() 鎖和 fcntl() 租約的組合數量的限制。
RES_MEMLOCK	可以鎖定到 RAM 中的記憶體位元組數的最大值。實際上，此限制被向下舍入到最接近的系統頁面大小的倍數。
RES_MSGQUEUE	指定可以為呼叫程序的實際使用者 ID 分配用於 POSIX 訊息佇列的位元組數的限制
RES_NICE	指定程序的 nice 值可以使用 setpriority(2) 或 nice(2) 提高到的上限。
RES_NOFILE	指定一個值，該值比該程序可以開啟的最大檔案描述符號大 1。
RES_NPROC	可以為呼叫程序的實際使用者 ID 建立的執行緒數的最大值。
RES_RSS	指定程序駐留集（駐留在 RAM 中的虛擬頁面數）的限制（以頁面為單位）。此限制僅在 Linux 2.4.x，x < 30 中有效。
RES_RTPRIO	指定可以使用 sched_setscheduler(2) 和 sched_setparam(2) 為該程序設定的即時優先順序的上限。
RES_SIGPENDING	指定可以為呼叫程序的實際使用者 ID 排隊的訊號數的限制。為了檢查此限制，標準訊號和即時訊號都被計算在內。
RES_STACK	程序堆疊的最大大小（以位元組為單位）。
RES_RTTIME	指定在即時排程策略下排程程序的情況下，程序可以消耗的 CPU 時間量限制，而無需進行阻塞系統呼叫。為了限制此限制，每次程序進行阻塞系統呼叫時，其消耗的 CPU 時間計數都會重置為零。如果程序繼續嘗試使用 CPU 但被搶佔，如果其時間片過期，或者如果它呼叫 sched_yield(2)，則 CPU 時間計數不會重置。達到軟限制後，程序將收到一個 SIGXCPU 訊號。如果程序捕獲或忽略此訊號並繼續消耗 CPU 時間，則每秒將生成一次 SIGXCPU，直到達到硬限制，此時程序將收到一個 SIGKILL 訊號。此限制的預期用途是阻止失控的即時程序鎖定系統。
RES_CRASH	這是一個偽資源，僅由 RBAC 系統解釋。此資源的軟限制和硬限制的含義被覆蓋。該資源的目的是能夠針對給定主體對暴力破解攻擊嘗試進行限速。此資源的軟限制是允許主體以暗示利用嘗試的方式崩潰的次數。硬限制指定這些崩潰允許發生的持續時間。使用類似以下規則`RES_CRASH 3 30m`可以將特權二進位制檔案限制為每 10 分鐘進行 3 次利用嘗試，從而阻止暴力破解嘗試。RBAC 系統積極響應超出此限制的暴力破解嘗試。如果目標是 setuid 二進位制檔案，則攻擊者的所有程序都將被殺死，並且攻擊者將無法在配置的剩餘時間內登入。如果目標是派生網路守護程序，則該守護程序將無法在配置的剩餘時間內派生自身的其他副本。

下一頁： Sysctl 選項 | 上一頁：能力名稱和描述
首頁： Grsecurity/附錄