Menjamin dan Mengeraskan Kernel CentOS 7 Dengan Sysctl

• Pengenalan
• Perintah
• Melindungi dan Mengeraskan Kernel
• Kesimpulannya

Pengenalan

Sysctlmembolehkan pengguna menyesuaikan kernel tanpa perlu membina semula kernel. Ini juga akan menerapkan perubahan dengan segera, oleh itu pelayan tidak perlu dihidupkan semula agar perubahan berlaku. Tutorial ini memberikan pengenalan ringkas sysctldan menunjukkan cara menggunakannya untuk mengubah bahagian kernel Linux tertentu.

Perintah

Untuk mula menggunakan sysctl, tinjau parameter dan contoh yang disenaraikan di bawah.

Parameter

-a : Ini akan memaparkan semua nilai yang ada pada konfigurasi sysctl.

-A : Ini akan memaparkan semua nilai yang ada pada konfigurasi sysctl dalam bentuk jadual.

-e : Pilihan ini akan mengabaikan kesilapan mengenai kunci yang tidak diketahui.

-p : Ini digunakan untuk memuat konfigurasi sysctl tertentu, secara lalai ia akan digunakan/etc/sysctl.conf

-n : Pilihan ini akan melumpuhkan menunjukkan nama-nama utama semasa mencetak nilai.

-w : Pilihan ini adalah untuk mengubah (atau menambahkan) nilai ke sysctl on-demand.

Contoh

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Jadi pertama-tama kita memeriksa nilai lalai. Sekiranya anda /etc/sysctl.confkosong, ia akan menunjukkan semua kunci dan nilai lalai. Kedua, kita memeriksa berapa nilai fs.file-maxdan kemudian menetapkan nilai baru 2097152. Akhirnya, kami memuatkan /etc/sysctl.conffail konfigurasi baru .

Sekiranya anda mencari bantuan tambahan, anda boleh menggunakan man sysctl.

Melindungi dan Mengeraskan Kernel

Untuk membuat perubahan kekal, kita harus menambahkan nilai-nilai ini ke file konfigurasi. Gunakan fail konfigurasi yang disediakan oleh CentOS secara lalai , /etc/sysctl.conf.

Buka fail dengan editor kegemaran anda.

Secara lalai, anda akan melihat sesuatu yang serupa dengan ini.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Mari tingkatkan pengurusan memori sistem terlebih dahulu.

Kami akan meminimumkan jumlah pertukaran yang perlu kami lakukan, meningkatkan ukuran pengendalian fail dan cache inode, dan menyekat pembuangan inti.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Seterusnya, mari selaraskan prestasi yang dioptimumkan rangkaian.

Kami akan mengubah jumlah sambungan masuk dan tunggakan sambungan masuk, meningkatkan jumlah maksimum penyangga memori, dan meningkatkan penyangga lalai / kirim maksimum dan maksimum.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Akhirnya, kami akan meningkatkan keselamatan rangkaian umum.

Kami akan mengaktifkan perlindungan cookie TCP SYN, perlindungan spoofing IP, mengabaikan permintaan ICMP, mengabaikan permintaan siaran, dan log masuk ke paket palsu, paket sumber yang diarahkan dan paket pengalihan. Bersamaan dengan itu, kita akan mematikan routing sumber IP dan penerimaan pengalihan ICMP.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Simpan dan tutup fail, dan kemudian muatkan fail menggunakan sysctl -pperintah.

Kesimpulannya

Pada akhirnya, fail anda akan kelihatan seperti ini.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0