CentOS 7 -ytimen suojaaminen ja vahvistaminen Sysctl:llä

Johdanto

Sysctlantaa käyttäjän hienosäätää ydintä ilman, että hänen tarvitsee rakentaa ydintä uudelleen. Se myös ottaa muutokset käyttöön välittömästi, joten palvelinta ei tarvitse käynnistää uudelleen, jotta muutokset tulevat voimaan. Tämä opetusohjelma tarjoaa lyhyen johdannon sysctlja osoittaa, kuinka sitä käytetään Linux-ytimen tiettyjen osien säätämiseen.

komennot

Voit aloittaa sysctl:n käytön tarkistamalla alla luetellut parametrit ja esimerkit.

Parametrit

-a : Tämä näyttää kaikki arvot, jotka ovat tällä hetkellä saatavilla sysctl-kokoonpanossa.

-A : Tämä näyttää kaikki sysctl-kokoonpanossa tällä hetkellä saatavilla olevat arvot taulukkomuodossa.

-e : Tämä vaihtoehto ohittaa tuntemattomia avaimia koskevat virheet.

-p : Tätä käytetään tietyn sysctl-kokoonpanon lataamiseen, oletuksena se käyttää/etc/sysctl.conf

-n : Tämä vaihtoehto estää avainten nimien näyttämisen arvoja tulostettaessa.

-w : Tämä vaihtoehto on tarkoitettu sysctl-arvojen muuttamiseen (tai lisäämiseen) on-demand.

Esimerkkejä

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Joten ensin tarkistamme oletusarvot. Jos /etc/sysctl.confon tyhjä, se näyttää kaikki oletusavaimet ja arvot. Toiseksi tarkistamme, mikä arvo fs.file-maxon, ja asetamme sitten uudeksi arvoksi 2097152. Lopuksi lataamme uutta /etc/sysctl.confasetustiedostoa.

Jos etsit lisäapua, voit käyttää man sysctl.

Ytimen suojaaminen ja kovettaminen

Jotta muutokset olisivat pysyviä, meidän on lisättävä nämä arvot määritystiedostoon. Käytä CentOS:n oletusarvoisesti tarjoamaa määritystiedostoa /etc/sysctl.conf.

Avaa tiedosto suosikkieditorillasi.

Oletuksena sinun pitäisi nähdä jotain tämän kaltaista.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Parannetaan ensin järjestelmän muistin hallintaa.

Aiomme minimoida tarvittavien vaihtojen määrän, suurentaa tiedostokahvojen ja inode-välimuistin kokoa ja rajoittaa ydinvedoksia.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Seuraavaksi viritetään verkon optimoitu suorituskyky.

Muutamme saapuvien yhteyksien määrää ja saapuvien yhteyksien ruuhkaa, lisäämme muistipuskureiden enimmäismäärää ja lisäämme oletus- ja enimmäislähetys-/vastaanottopuskureita.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Lopuksi aiomme parantaa yleistä verkon turvallisuutta.

Otamme käyttöön TCP SYN -evästesuojauksen, IP-huijaussuojauksen, ICMP-pyyntöjen huomioimatta jättämisen, lähetyspyyntöjen huomioimatta jättämisen ja kirjaamisen huijauspaketteihin, lähdereititettyihin ja uudelleenohjauspaketteihin. Tämän lisäksi aiomme poistaa IP-lähdereitityksen ja ICMP-uudelleenohjauksen hyväksynnän käytöstä.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Tallenna ja sulje tiedosto ja lataa tiedosto sitten sysctl -pkomennolla.

Johtopäätös

Lopulta tiedostosi pitäisi näyttää samanlaiselta.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0