Защита и укрепление ядра CentOS 7 с помощью Sysctl

• Вступление
• команды
• Защита и укрепление ядра
• Вывод

Вступление

Sysctlпозволяет пользователю точно настроить ядро ​​без необходимости перестраивать ядро. Кроме того, изменения будут применены немедленно, поэтому не нужно будет перезагружать сервер, чтобы изменения вступили в силу. Это руководство представляет собой краткое введение sysctlи демонстрирует, как использовать его для настройки определенных частей ядра Linux.

команды

Чтобы начать использовать sysctl, просмотрите параметры и примеры, перечисленные ниже.

параметры

-a : отобразятся все доступные в настоящее время значения в конфигурации sysctl.

-A : отобразятся все доступные в настоящее время значения в конфигурации sysctl в виде таблицы.

-e : эта опция игнорирует ошибки о неизвестных ключах.

-p : используется для загрузки определенной конфигурации sysctl, по умолчанию она будет использовать/etc/sysctl.conf

-n : эта опция отключит отображение имен клавиш при распечатке значений.

-w : эта опция предназначена для изменения (или добавления) значений в sysctl по требованию.

Примеры

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Итак, сначала мы проверяем значения по умолчанию. Если ваш /etc/sysctl.confпустой, он покажет все ключи и значения по умолчанию. Во-вторых, мы проверяем значение fs.file-maxи затем устанавливаем новое значение 2097152. Наконец, мы загружаем новый /etc/sysctl.confфайл конфигурации.

Если вы ищете дополнительную помощь, вы можете использовать man sysctl.

Защита и укрепление ядра

Чтобы сделать изменения постоянными, нам нужно будет добавить эти значения в файл конфигурации. Используйте файл конфигурации, который CentOS предоставляет по умолчанию /etc/sysctl.conf.

Откройте файл в вашем любимом редакторе.

По умолчанию вы должны увидеть нечто похожее на это.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Давайте сначала улучшим управление системной памятью.

Мы собираемся свести к минимуму объем подкачки, который нам нужно сделать, увеличить размер дескрипторов файлов и кэша узлов и ограничить дампы ядра.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Далее, давайте настроим оптимизированную производительность сети.

Мы собираемся изменить количество входящих подключений и отставание входящих подключений, увеличить максимальное количество буферов памяти и увеличить стандартные и максимальные буферы отправки / получения.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Наконец, мы собираемся улучшить общую безопасность сети.

Мы собираемся включить защиту файлов cookie SYN TCP, защиту от подделки IP-адресов, игнорирование ICMP-запросов, игнорирование широковещательных запросов и ведение журнала для поддельных пакетов, исходных маршрутизированных пакетов и пакетов перенаправления. Наряду с этим мы собираемся отключить маршрутизацию источника IP и принятие перенаправления ICMP.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Сохраните и закройте файл, а затем загрузите файл с помощью sysctl -pкоманды.

Вывод

В конце ваш файл должен выглядеть примерно так.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0