Sysctl ile CentOS 7 Çekirdeğinin Güvenliğini Sağlama ve Sertleştirme

• Giriş
• Komutları
• Çekirdeğin Güvenliğini Sağlama ve Sertleştirme
• Sonuç

Giriş

Sysctlkullanıcının çekirdeği yeniden oluşturmak zorunda kalmadan çekirdeğe ince ayar yapmasını sağlar. Ayrıca değişiklikleri hemen uygulayacaktır, böylece değişikliklerin yürürlüğe girmesi için sunucunun yeniden başlatılması gerekmez. Bu eğitimde sysctl, Linux çekirdeğinin belirli bölümlerini değiştirmek için nasıl kullanılacağı gösterilmektedir.

Komutları

Sysctl kullanmaya başlamak için, aşağıda listelenen parametreleri ve örnekleri inceleyin.

Parametreler

-a : Bu, sysctl yapılandırmasında şu anda kullanılabilir olan tüm değerleri görüntüler.

-A : Bu, sysctl yapılandırmasında şu anda kullanılabilir olan tüm değerleri tablo biçiminde görüntüler.

-e : Bu seçenek bilinmeyen anahtarlarla ilgili hataları yoksayar.

-p : Bu, belirli bir sysctl yapılandırmasını yüklemek için kullanılır, varsayılan olarak/etc/sysctl.conf

-n : Bu seçenek, değerleri yazdırırken tuş adlarının gösterilmesini devre dışı bırakır.

-w : Bu seçenek, istek üzerine sysctl'e değerleri değiştirmek (veya eklemek) içindir.

Örnekler

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

İlk olarak varsayılan değerleri kontrol ediyoruz. Eğer /etc/sysctl.confboşsa, tüm varsayılan anahtarları ve değerleri gösterir. İkinci olarak, değerinin ne olduğunu kontrol fs.file-maxedip yeni değeri olarak ayarlıyoruz 2097152. Son olarak, yeni /etc/sysctl.confyapılandırma dosyasını yüklüyoruz .

Ek yardım arıyorsanız kullanabilirsiniz man sysctl.

Çekirdeğin Güvenliğini Sağlama ve Sertleştirme

Değişiklikleri kalıcı hale getirmek için bu değerleri bir yapılandırma dosyasına eklememiz gerekecek. CentOS'un varsayılan olarak sağladığı yapılandırma dosyasını kullanın /etc/sysctl.conf,.

Dosyayı favori düzenleyicinizle açın.

Varsayılan olarak, buna benzer bir şey görmelisiniz.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Önce sistem bellek yönetimini geliştirelim.

Yapmamız gereken takas miktarını en aza indireceğiz, dosya tanıtıcıları ve inode önbellek boyutunu artıracağız ve çekirdek dökümlerini kısıtlayacağız.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Ardından, ağın optimize edilmiş performansını ayarlayalım.

Gelen bağlantıların sayısını ve gelen bağlantılar biriktirme listesini değiştireceğiz, maksimum bellek arabelleklerini artıracağız ve varsayılan ve maksimum gönderme / alma arabelleklerini artıracağız.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Son olarak, genel ağ güvenliğini artıracağız.

TCP SYN tanımlama bilgisi koruması, IP kimlik sahtekarlığı koruması, ICMP isteklerini göz ardı etme, yayın isteklerini göz ardı etme ve sahte paketler, kaynak yönlendirmeli paketler ve yönlendirme paketleri için oturum açmayı etkinleştireceğiz. Bununla birlikte, IP kaynak yönlendirmesini ve ICMP yönlendirme kabulünü devre dışı bırakacağız.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Dosyayı kaydedip kapatın ve ardından sysctl -pkomutu kullanarak dosyayı yükleyin .

Sonuç

Sonunda dosyanız buna benzer görünmelidir.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0