Sysctl के साथ CentOS 7 कर्नेल को सुरक्षित और सख्त करना

परिचय

Sysctlउपयोगकर्ता को कर्नेल के पुनर्निर्माण के बिना कर्नेल को ठीक से ट्यून करने देता है। यह परिवर्तनों को तुरंत लागू करेगा, इस प्रकार परिवर्तन को प्रभावी होने के लिए सर्वर को रिबूट नहीं करना पड़ेगा। यह ट्यूटोरियल sysctlलिनक्स कर्नेल के विशिष्ट भागों को ट्वीक करने के लिए इसका उपयोग करने के लिए एक संक्षिप्त परिचय प्रदान करता है और प्रदर्शित करता है।

आदेश

Sysctl का उपयोग शुरू करने के लिए, नीचे सूचीबद्ध मापदंडों और उदाहरणों की समीक्षा करें।

पैरामीटर

-a : यह वर्तमान में sysctl कॉन्फ़िगरेशन में उपलब्ध सभी मान प्रदर्शित करेगा।

उ०— यह वर्तमान में तालिका रूप में sysctl विन्यास में उपलब्ध सभी मूल्यों को प्रदर्शित करेगा।

-e : यह विकल्प अज्ञात कुंजियों के बारे में त्रुटियों को अनदेखा करेगा।

-p : इसका उपयोग विशिष्ट sysctl कॉन्फ़िगरेशन को लोड करने के लिए किया जाता है, डिफ़ॉल्ट रूप से यह उपयोग करेगा/etc/sysctl.conf

-n : यह विकल्प मानों को प्रिंट करते समय प्रमुख नामों को अक्षम कर देगा।

-w : यह विकल्प sysctl ऑन-डिमांड में मूल्यों को बदलने (या जोड़ने) के लिए है।

उदाहरण

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

इसलिए पहले हम डिफ़ॉल्ट मानों की जाँच कर रहे हैं। यदि आपका /etc/sysctl.confखाली है, तो यह सभी डिफ़ॉल्ट कुंजियों और मूल्यों को दिखाएगा। दूसरा, हम जाँच रहे हैं कि मान क्या fs.file-maxहै और फिर नया मान सेट करना है 2097152। अंत में, हम नई /etc/sysctl.confकॉन्फ़िगरेशन फ़ाइल लोड कर रहे हैं ।

यदि आप अतिरिक्त सहायता की तलाश कर रहे हैं, तो आप उपयोग कर सकते हैं man sysctl

कर्नेल को सुरक्षित और सख्त करना

परिवर्तनों को स्थायी बनाने के लिए, हमें इन मानों को एक कॉन्फ़िगरेशन फ़ाइल में जोड़ना होगा। डिफ़ॉल्ट रूप से कॉन्फ़िगरेशन फ़ाइल CentOS प्रदान करता है का उपयोग करें /etc/sysctl.conf

अपने पसंदीदा संपादक के साथ फ़ाइल खोलें।

डिफ़ॉल्ट रूप से, आपको इसके समान कुछ देखना चाहिए।

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

आइए पहले सिस्टम मेमोरी प्रबंधन में सुधार करें।

हम स्वैपिंग की मात्रा को कम करने जा रहे हैं, जिसे हमें करने की आवश्यकता है, फ़ाइल हैंडल और इनोड कैश के आकार को बढ़ाएं और कोर डंप को प्रतिबंधित करें।

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

अगला, नेटवर्क को अनुकूलित प्रदर्शन को ट्यून करने देता है।

हम आने वाले कनेक्शन और आने वाले कनेक्शन बैकलॉग की मात्रा को बदलने जा रहे हैं, अधिकतम मेमोरी बफ़र्स बढ़ाएं और डिफ़ॉल्ट और अधिकतम भेजें / प्राप्त बफ़र्स बढ़ाएं।

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

अंत में, हम सामान्य नेटवर्क सुरक्षा में सुधार करने जा रहे हैं।

हम TCP SYN कुकी सुरक्षा, IP स्पूफिंग सुरक्षा, ICMP अनुरोधों को अनदेखा करने, प्रसारण अनुरोधों को अनदेखा करने और स्पूफ किए गए पैकेटों, स्रोत रूट किए गए पैकेटों और रीडायरेक्ट पैकेटों को लॉग करने में सक्षम करने जा रहे हैं। इसके साथ ही, हम IP स्रोत रूटिंग और ICMP रीडायरेक्ट स्वीकृति को अक्षम करने जा रहे हैं।

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

फ़ाइल को सहेजें और बंद करें, और फिर sysctl -pकमांड का उपयोग करके फ़ाइल को लोड करें ।

निष्कर्ष

अंत में, आपकी फ़ाइल को इसके समान दिखना चाहिए।

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

एक टिप्पणी छोड़ें

डेबियन पर सेटअप NFS शेयर

डेबियन पर सेटअप NFS शेयर

एनएफएस एक नेटवर्क-आधारित फाइल सिस्टम है जो कंप्यूटरों को कंप्यूटर नेटवर्क पर फाइलों तक पहुंचने की अनुमति देता है। यह मार्गदर्शिका बताती है कि आप एनएफ पर फ़ोल्डर्स को कैसे उजागर कर सकते हैं

Ubuntu 16.04 पर लाइटकार्ट शॉपिंग कार्ट प्लेटफ़ॉर्म कैसे स्थापित करें

Ubuntu 16.04 पर लाइटकार्ट शॉपिंग कार्ट प्लेटफ़ॉर्म कैसे स्थापित करें

LiteCart PHP, jQuery और HTML में लिखा गया एक स्वतंत्र और ओपन सोर्स शॉपिंग कार्ट प्लेटफॉर्म है। यह ई-कॉमर्स सॉफ्टवेअर का उपयोग करने के लिए एक सरल, हल���का और आसान है

मोटोमो एनालिटिक्स को फेडोरा 28 पर कैसे स्थापित करें

मोटोमो एनालिटिक्स को फेडोरा 28 पर कैसे स्थापित करें

एक अलग प्रणाली का उपयोग? माटोमो (पूर्व में पिविक) एक ओपन सोर्स एनालिटिक्स प्लेटफॉर्म है, जो गूगल एनालिटिक्स का एक खुला विकल्प है। Matomo स्रोत को होस्ट किया गया है

कैसे स्थापित करें और अपने CentOS 7 सर्वर पर CyberPanel कॉन्फ़िगर करें

कैसे स्थापित करें और अपने CentOS 7 सर्वर पर CyberPanel कॉन्फ़िगर करें

एक अलग प्रणाली का उपयोग? परिचय CyberPanel बाजार पर पहला नियंत्रण पैनल है जो दोनों खुला स्रोत है और OpenLiteSpeed ​​का उपयोग करता है। क्या थी?

विंडोज सर्वर पर Garrys मॉड कैसे स्थापित करें

विंडोज सर्वर पर Garrys मॉड कैसे स्थापित करें

परिचय यह आलेख बताएगा कि विंडोज सर्वर 2012 पर गारस मोड सर्वर को कैसे डाउनलोड और इंस्टॉल किया जाए। यह गाइड गहराई में होने के लिए बनाया गया है।

Linux पर एक TeamTalk Server सेटअप करें

Linux पर एक TeamTalk Server सेटअप करें

टीमटॉक एक कॉन्फ्रेंसिंग प्रणाली है जो उपयोगकर्ताओं को उच्च-गुणवत्ता वाले ऑडियो / वीडियो वार्तालाप, टेक्स्ट चैट, स्थानांतरण फ़ाइलें और स्क्रीन साझा करने की अनुमति देती है। यह मैं

CentOS पर FFmpeg कैसे स्थापित करें

CentOS पर FFmpeg कैसे स्थापित करें

FFmpeg ऑडियो और वीडियो रिकॉर्ड करने, कन्वर्ट करने और स्ट्रीम करने के लिए एक लोकप्रिय ओपन सोर्स समाधान है, जो सभी प्रकार की ऑनलाइन स्ट्रीमिंग सेवाओं में व्यापक रूप से उपयोग किया जाता है। मैं

SSH का उपयोग करके LUKS डिस्क एन्क्रिप्शन पर LVM को दूरस्थ रूप से अनलॉक करने के लिए CentOS 7 स्थापित और सेटअप करें

SSH का उपयोग करके LUKS डिस्क एन्क्रिप्शन पर LVM को दूरस्थ रूप से अनलॉक करने के लिए CentOS 7 स्थापित और सेटअप करें

एलयूकेएस (लिनक्स यूनिफाइड की सेटअप) लिनक्स के लिए उपलब्ध विभिन्न डिस्क एन्क्रिप्शन प्रारूपों में से एक है जो प्लेटफॉर्म एग्नॉस्टिक है। यह ट्यूटोरियल आपको बुद्धि प्रदान करेगा

अपने Vultr VPS को कैसे एक्सेस करें

अपने Vultr VPS को कैसे एक्सेस करें

Vultr अपने VPS को कॉन्फ़िगर करने, स्थापित करने और उपयोग करने के लिए कई अलग-अलग तरीके प्रदान करता है। क्रेडेंशियल एक्सेस करें आपके VPS के लिए डिफ़ॉल्ट एक्सेस क्रेडेंशियल ar

CentOS 7 पर अक्टूबर CMS को कैसे स्थापित करें

CentOS 7 पर अक्टूबर CMS को कैसे स्थापित करें

अक्टूबर एक खुला स्रोत सामग्री प्रबंधन प्रणाली है जो लारवेल PHP फ्रेमवर्क पर आधारित है। एक सुरुचिपूर्ण इंटरफ़ेस और एक संक्षिप्त मॉड्यूलर वास्तुकला के साथ