De CentOS 7-kernel beveiligen en verharden met Sysctl

• Invoering
• Commando's
• De kernel beveiligen en verharden
• Gevolgtrekking

Invoering

Sysctllaat de gebruiker de kernel verfijnen zonder de kernel opnieuw te hoeven bouwen. Het zal ook de wijzigingen onmiddellijk toepassen, dus de server hoeft niet opnieuw te worden opgestart om de wijzigingen door te voeren. Deze tutorial biedt een korte introductie tot sysctlen laat zien hoe je het kunt gebruiken om specifieke delen van de Linux-kernel aan te passen.

Commando's

Bekijk de onderstaande parameters en voorbeelden om sysctl te gebruiken.

Parameters

-a : Hiermee worden alle waarden weergegeven die momenteel beschikbaar zijn in de sysctl-configuratie.

-A : Hiermee worden alle waarden weergegeven die momenteel beschikbaar zijn in de sysctl-configuratie in tabelvorm.

-e : Deze optie negeert fouten over onbekende sleutels.

-p : Dit wordt gebruikt om een ​​specifieke sysctl-configuratie te laden, standaard wordt dit gebruikt/etc/sysctl.conf

-n : Met deze optie wordt het weergeven van de toetsnamen bij het afdrukken van de waarden uitgeschakeld.

-w : Deze optie is voor het wijzigen (of toevoegen) van waarden aan de sysctl op aanvraag.

Voorbeelden

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Dus eerst controleren we de standaardwaarden. Als uw /etc/sysctl.confleeg is, worden alle standaardsleutels en -waarden weergegeven. Ten tweede controleren we wat de waarde fs.file-maxis en stellen we de nieuwe waarde in 2097152. Ten slotte laden we het nieuwe /etc/sysctl.confconfiguratiebestand.

Als u aanvullende hulp zoekt, kunt u deze gebruiken man sysctl.

De kernel beveiligen en verharden

Om de wijzigingen permanent te maken, moeten we deze waarden toevoegen aan een configuratiebestand. Gebruik het configuratiebestand CentOS biedt standaard /etc/sysctl.conf.

Open het bestand met je favoriete editor.

Standaard zou je zoiets als dit moeten zien.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Laten we eerst het systeemgeheugenbeheer verbeteren.

We gaan de hoeveelheid swapping die we moeten doen minimaliseren, de bestandshandles en inodecache vergroten en kerndumps beperken.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Laten we vervolgens de voor het netwerk geoptimaliseerde prestaties afstemmen.

We gaan het aantal inkomende verbindingen en inkomende verbindingen achterstand wijzigen, de maximale hoeveelheid geheugenbuffers verhogen en de standaard en maximale verzend- / ontvangstbuffers verhogen.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Ten slotte gaan we de algemene netwerkbeveiliging verbeteren.

We gaan TCP SYN-cookiebescherming, IP-spoofing-bescherming inschakelen, ICMP-verzoeken negeren, broadcast-verzoeken negeren en inloggen op vervalste pakketten, source-gerouteerde pakketten en omleidingspakketten. Daarnaast gaan we IP-bronroutering en acceptatie van ICMP-omleidingen uitschakelen.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Sla het bestand op, sluit het en laad het vervolgens met de sysctl -popdracht.

Gevolgtrekking

Uiteindelijk zou uw bestand er ongeveer zo uit moeten zien.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0