Осигуряване и втвърдяване на ядрото на CentOS 7 със Sysctl

Въведение

Sysctlпозволява на потребителя фина настройка на ядрото, без да се налага да го изгражда отново. Той също така ще приложи промените незабавно, така че сървърът няма да се налага да се рестартира, за да влязат в сила промените. Този урок предоставя кратко въведение sysctlи демонстрира как да го използвате за настройване на специфични части от ядрото на Linux.

Команди

За да започнете да използвате sysctl, прегледайте параметрите и примерите, изброени по-долу.

Параметри

-a : Това ще покаже всички стойности, налични в момента в конфигурацията на sysctl.

-A : Това ще покаже всички стойности, налични в момента в конфигурацията на sysctl, под формата на таблица.

-e : Тази опция ще игнорира грешки за неизвестни ключове.

-p : Използва се за зареждане на конкретна sysctl конфигурация, по подразбиране ще се използва/etc/sysctl.conf

-n : Тази опция ще забрани показването на имената на ключовете при разпечатване на стойностите.

-w : Тази опция е за промяна (или добавяне) на стойности към sysctl при поискване.

Примери

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Така че първо проверяваме стойностите по подразбиране. Ако вашият /etc/sysctl.confе празен, той ще покаже всички ключове и стойности по подразбиране. Второ, ние проверяваме каква е стойността на fs.file-maxи след това задаваме новата стойност на 2097152. Накрая зареждаме новия /etc/sysctl.confконфигурационен файл.

Ако търсите допълнителна помощ, можете да използвате man sysctl.

Осигуряване и втвърдяване на ядрото

За да направим промените постоянни, ще трябва да добавим тези стойности към конфигурационен файл. Използвайте конфигурационния файл, който CentOS предоставя по подразбиране, /etc/sysctl.conf.

Отворете файла с любимия си редактор.

По подразбиране трябва да видите нещо подобно на това.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Нека първо подобрим управлението на системната памет.

Ще намалим до минимум количеството размяна, което трябва да направим, ще увеличим размера на манипулаторите на файлове и кеша на inode и ще ограничим изхвърлянията на ядрото.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

След това нека настроим оптимизираната производителност на мрежата.

Ще променим размера на входящите връзки и изоставането на входящите връзки, ще увеличим максималното количество буфери на паметта и ще увеличим буферите по подразбиране и максимални буфери за изпращане/получаване.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

И накрая, ще подобрим общата сигурност на мрежата.

Ще активираме TCP SYN защита на бисквитките, защита от IP спуфинг, игнориране на ICMP заявки, игнориране на заявки за излъчване и регистриране на подправени пакети, пренасочени към източник пакети и пренасочващи пакети. Заедно с това ще деактивираме маршрутизирането на IP източник и приемането на ICMP пренасочване.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Запазете и затворете файла и след това заредете файла с помощта на sysctl -pкомандата.

Заключение

В крайна сметка вашият файл трябва да изглежда подобно на този.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0