Shell Fork Bomb Protection

Fork bomb adalah jenis serangan denial-of-service (DoS) yang membuat proses terus bertambah tanpa batas. Akibatnya, server bisa menjadi sangat lambat, tidak responsif, atau bahkan crash. Kondisi ini juga dapat terjadi karena penulisan kode yang buruk, kesalahan konfigurasi, maupun aktivitas berbahaya (malicious).

Selain fork bomb, aktivitas intensif seperti script mining cryptocurrency juga dapat menyebabkan server overload dan akhirnya crash.

Mengaktifkan Shell Fork Bomb Protection

#

Untuk mencegah penyalahgunaan terminal, kita dapat membatasi jumlah proses dan resource yang dapat dibuat oleh setiap user. Cara ini membantu menjaga kestabilan sistem apabila terjadi fork bomb atau pemakaian resource berlebihan.

Edit file berikut:

/etc/bashrc
/etc/profile

Lalu tambahkan script berikut pada baris paling bawah:

# start_shell_fork

# Default limits (lebih longgar, untuk admin)
ulimit -n 4096 -u 14335 -m unlimited -d unlimited -s 8192 -c 1000000 -v unlimited 2>/dev/null

LIMITUSER=$USER
if [ -e "/usr/bin/whoami" ]; then
    LIMITUSER=$(/usr/bin/whoami)
fi

# Terapkan limit ketat hanya untuk user non-root dan bukan anggota wheel/sudo
if [ "$LIMITUSER" != "root" ] &&
    ! id -Gn | grep -qsP '(^| )(wheel|sudo)( |$)' &&
    [ "$(id -u)" -ge "$( (grep -s '^UID_MIN' /etc/login.defs || echo 'x 500') | awk '{print $2}')" ]
then
    # Limit untuk user biasa
    ulimit -n 100 -u 35 -m 200000 -d 200000 -s 8192 -c 200000 -v unlimited 2>/dev/null
else
    # Limit untuk admin / root
    ulimit -n 4096 -u 14335 -m unlimited -d unlimited -s 8192 -c 1000000 -v unlimited 2>/dev/null
fi

# end_shell_fork

Penjelasan Limit untuk User Biasa:

Setelah konfigurasi selesai, reboot server agar semua limit diterapkan ke seluruh user.

Membatasi Akses Compiler

#

Anda juga dapat membatasi penggunaan compiler (misalnya gcc) hanya untuk group tertentu. Contohnya:

groupadd compiler
chmod 750 /bin/gcc
chown root:compiler /bin/gcc

Dengan cara ini, hanya user dalam group compiler yang dapat menjalankan perintah gcc.