Protegendo e reforçando o kernel do CentOS 7 com o Sysctl

• Introdução
• Comandos
• Protegendo e reforçando o kernel
• Conclusão

Introdução

Sysctlpermite que o usuário ajuste o kernel sem precisar reconstruí-lo. Ele também aplicará as alterações imediatamente, portanto, o servidor não precisará ser reinicializado para que as alterações entrem em vigor. Este tutorial fornece uma breve introdução sysctle demonstra como usá-lo para ajustar partes específicas do kernel do Linux.

Comandos

Para começar a usar o sysctl, revise os parâmetros e exemplos listados abaixo.

Parâmetros

-a : Isso exibirá todos os valores atualmente disponíveis na configuração sysctl.

-A : Isso exibirá todos os valores atualmente disponíveis na configuração sysctl no formato de tabela.

-e : Esta opção ignorará erros sobre chaves desconhecidas.

-p : É usado para carregar uma configuração sysctl específica; por padrão, ele usará/etc/sysctl.conf

-n : Esta opção desabilitará a exibição dos nomes das chaves ao imprimir os valores.

-w : Esta opção é para alterar (ou adicionar) valores ao sysctl sob demanda.

Exemplos

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Então, primeiro estamos verificando os valores padrão. Se o seu /etc/sysctl.confestiver vazio, ele mostrará todas as chaves e valores padrão. Segundo, estamos verificando qual é o valor de fs.file-maxe depois configurando o novo valor 2097152. Por fim, estamos carregando o novo /etc/sysctl.confarquivo de configuração.

Se você estiver procurando por ajuda adicional, poderá usar man sysctl.

Protegendo e reforçando o kernel

Para tornar as alterações permanentes, teremos que adicionar esses valores a um arquivo de configuração. Use o arquivo de configuração que o CentOS fornece por padrão /etc/sysctl.conf,.

Abra o arquivo com seu editor favorito.

Por padrão, você deve ver algo semelhante a isso.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Vamos melhorar o gerenciamento de memória do sistema primeiro.

Vamos minimizar a quantidade de trocas que precisamos fazer, aumentar o tamanho dos identificadores de arquivo e cache de inode e restringir os dumps principais.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Em seguida, vamos ajustar o desempenho otimizado da rede.

Vamos alterar a quantidade de conexões recebidas e o backlog de conexões recebidas, aumentar a quantidade máxima de buffers de memória e aumentar os buffers padrão e máximo de envio / recebimento.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Finalmente, vamos melhorar a segurança geral da rede.

Vamos habilitar a proteção de cookie TCP SYN, a proteção contra falsificação de IP, ignorando solicitações de ICMP, ignorando solicitações de transmissão e registrando em pacotes falsificados, pacotes roteados de origem e pacotes de redirecionamento. Junto com isso, vamos desativar o roteamento de origem IP e a aceitação de redirecionamento de ICMP.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Salve e feche o arquivo e, em seguida, carregue o arquivo usando o sysctl -pcomando

Conclusão

No final, seu arquivo deve ser semelhante a isso.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0