Mengamankan dan Mengeras Kernel CentOS 7 Dengan Sysctl

• pengantar
• Perintah
• Mengamankan dan Mengeras Kernel
• Kesimpulan

pengantar

Sysctlmemungkinkan pengguna mengatur kernel tanpa harus membangun kembali kernel. Ini juga akan segera menerapkan perubahan, sehingga server tidak harus di-boot ulang agar perubahan diterapkan. Tutorial ini memberikan pengantar singkat sysctldan menunjukkan bagaimana menggunakannya untuk men-tweak bagian-bagian tertentu dari kernel Linux.

Perintah

Untuk mulai menggunakan sysctl, tinjau parameter dan contoh yang tercantum di bawah ini.

Parameter

-a : Ini akan menampilkan semua nilai yang saat ini tersedia dalam konfigurasi sysctl.

-A : Ini akan menampilkan semua nilai yang saat ini tersedia dalam konfigurasi sysctl dalam bentuk tabel.

-e : Opsi ini akan mengabaikan kesalahan tentang kunci yang tidak dikenal.

-p : Ini digunakan untuk memuat konfigurasi sysctl tertentu, secara default akan digunakan/etc/sysctl.conf

-n : Opsi ini akan menonaktifkan menampilkan nama-nama kunci saat mencetak nilai-nilai.

-w : Opsi ini untuk mengubah (atau menambahkan) nilai ke sysctl on-demand.

Contohnya

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Jadi pertama-tama kita memeriksa nilai default. Jika Anda /etc/sysctl.confkosong, ini akan menampilkan semua kunci dan nilai default. Kedua, kami memeriksa apa nilai fs.file-maxdan kemudian menetapkan nilai baru 2097152. Akhirnya, kami memuat /etc/sysctl.conffile konfigurasi baru .

Jika Anda mencari bantuan tambahan, Anda dapat menggunakan man sysctl.

Mengamankan dan Mengeras Kernel

Untuk membuat perubahan permanen, kita harus menambahkan nilai-nilai ini ke file konfigurasi. Gunakan file konfigurasi yang disediakan CentOS secara default /etc/sysctl.conf,.

Buka file dengan editor favorit Anda.

Secara default, Anda akan melihat sesuatu yang mirip dengan ini.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Mari kita tingkatkan manajemen memori sistem terlebih dahulu.

Kita akan meminimalkan jumlah swapping yang perlu kita lakukan, menambah ukuran handle file dan inode cache, dan membatasi core dumps.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Selanjutnya, mari tune kinerja jaringan yang dioptimalkan.

Kami akan mengubah jumlah koneksi masuk dan backlog koneksi masuk, menambah jumlah maksimum buffer memori, dan meningkatkan default dan maksimum mengirim / menerima buffer.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Akhirnya, kita akan meningkatkan keamanan jaringan secara umum.

Kami akan mengaktifkan proteksi cookie TCP SYN, proteksi spoofing IP, mengabaikan permintaan ICMP, mengabaikan permintaan broadcast, dan masuk ke paket palsu, paket source routed, dan paket redirect. Bersamaan dengan itu, kita akan menonaktifkan perutean sumber IP dan penerimaan pengalihan ICMP.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Simpan dan tutup file, lalu muat file menggunakan sysctl -pperintah.

Kesimpulan

Pada akhirnya, file Anda akan terlihat mirip dengan ini.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0