Начало » » Осигуряване и втвърдяване на ядрото на CentOS 7 със Sysctl

Осигуряване и втвърдяване на ядрото на CentOS 7 със Sysctl

  • Въведение
  • Команди
  • Осигуряване и втвърдяване на ядрото
  • Заключение

    • Въведение

    Sysctlпозволява на потребителя фина настройка на ядрото, без да се налага да го изгражда отново. Той също така ще приложи промените незабавно, така че сървърът няма да се налага да се рестартира, за да влязат в сила промените. Този урок предоставя кратко въведение sysctlи демонстрира как да го използвате за настройване на специфични части от ядрото на Linux.

    Команди

    За да започнете да използвате sysctl, прегледайте параметрите и примерите, изброени по-долу.

    Параметри

    -a : Това ще покаже всички стойности, налични в момента в конфигурацията на sysctl.

    -A : Това ще покаже всички стойности, налични в момента в конфигурацията на sysctl, под формата на таблица.

    -e : Тази опция ще игнорира грешки за неизвестни ключове.

    -p : Използва се за зареждане на конкретна sysctl конфигурация, по подразбиране ще се използва/etc/sysctl.conf

    -n : Тази опция ще забрани показването на имената на ключовете при разпечатване на стойностите.

    -w : Тази опция е за промяна (или добавяне) на стойности към sysctl при поискване.

    Примери

    $ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

    Така че първо проверяваме стойностите по подразбиране. Ако вашият /etc/sysctl.confе празен, той ще покаже всички ключове и стойности по подразбиране. Второ, ние проверяваме каква е стойността на fs.file-maxи след това задаваме новата стойност на 2097152. Накрая зареждаме новия /etc/sysctl.confконфигурационен файл.

    Ако търсите допълнителна помощ, можете да използвате man sysctl.

    Осигуряване и втвърдяване на ядрото

    За да направим промените постоянни, ще трябва да добавим тези стойности към конфигурационен файл. Използвайте конфигурационния файл, който CentOS предоставя по подразбиране, /etc/sysctl.conf.

    Отворете файла с любимия си редактор.

    По подразбиране трябва да видите нещо подобно на това.

    # sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

    Нека първо подобрим управлението на системната памет.

    Ще намалим до минимум количеството размяна, което трябва да направим, ще увеличим размера на манипулаторите на файлове и кеша на inode и ще ограничим изхвърлянията на ядрото.

    # Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

    След това нека настроим оптимизираната производителност на мрежата.

    Ще променим размера на входящите връзки и изоставането на входящите връзки, ще увеличим максималното количество буфери на паметта и ще увеличим буферите по подразбиране и максимални буфери за изпращане/получаване.

    # Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

    И накрая, ще подобрим общата сигурност на мрежата.

    Ще активираме TCP SYN защита на бисквитките, защита от IP спуфинг, игнориране на ICMP заявки, игнориране на заявки за излъчване и регистриране на подправени пакети, пренасочени към източник пакети и пренасочващи пакети. Заедно с това ще деактивираме маршрутизирането на IP източник и приемането на ICMP пренасочване.

    # Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

    Запазете и затворете файла и след това заредете файла с помощта на sysctl -pкомандата.

    Заключение

    В крайна сметка вашият файл трябва да изглежда подобно на този.

    # sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

    Оставете коментар

    Възходът на машините: Реални приложения на AI

    Възходът на машините: Реални приложения на AI

    Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.

    DDOS атаки: кратък преглед

    DDOS атаки: кратък преглед

    Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.

    Чудили ли сте се как хакерите печелят пари?

    Чудили ли сте се как хакерите печелят пари?

    Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.

    Революционни изобретения на Google, които ще улеснят живота ви.

    Революционни изобретения на Google, които ще улеснят живота ви.

    Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.

    Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?

    Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?

    Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…

    Технологична сингулярност: далечно бъдеще на човешката цивилизация?

    Технологична сингулярност: далечно бъдеще на човешката цивилизация?

    Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.

    Функционалности на референтните архитектурни слоеве за големи данни

    Функционалности на референтните архитектурни слоеве за големи данни

    Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.

    Еволюция на съхранението на данни – инфографика

    Еволюция на съхранението на данни – инфографика

    Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.

    6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни

    6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни

    В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.

    Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава

    Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава

    Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече