CentOS 7 branduolio apsauga ir sustiprinimas naudojant Sysctl

Įvadas

Sysctlleidžia vartotojui tiksliai sureguliuoti branduolį, jo nereikės atkurti. Taip pat pakeitimai bus pritaikyti nedelsiant, todėl serverio nereikės perkrauti, kad pakeitimai įsigaliotų. Šiame vadove pateikiamas trumpas įvadas sysctlir parodoma, kaip ją naudoti norint pakoreguoti konkrečias Linux branduolio dalis.

Komandos

Norėdami pradėti naudoti sysctl, peržiūrėkite toliau pateiktus parametrus ir pavyzdžius.

Parametrai

-a : bus rodomos visos šiuo metu turimos sysctl konfigūracijoje reikšmės.

-A : Lentelės pavidalu bus rodomos visos šiuo metu turimos sysctl konfigūracijoje reikšmės.

-e : ši parinktis nepaisys klaidų dėl nežinomų raktų.

-p : naudojamas įkelti konkrečią sysctl konfigūraciją, pagal numatytuosius nustatymus jis bus naudojamas/etc/sysctl.conf

-n : Ši parinktis neleis rodyti raktų pavadinimų spausdinant reikšmes.

-w : ši parinktis skirta keisti (arba pridėti) reikšmes į sysctl pagal pareikalavimą.

Pavyzdžiai

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Taigi pirmiausia patikriname numatytąsias reikšmes. Jei /etc/sysctl.conflaukelis tuščias, bus rodomi visi numatytieji raktai ir reikšmės. Antra, mes patikriname, kokia yra reikšmė, fs.file-maxir tada nustatome naują reikšmę į 2097152. Galiausiai įkeliame naują /etc/sysctl.confkonfigūracijos failą.

Jei ieškote papildomos pagalbos, galite naudoti man sysctl.

Branduolio apsauga ir grūdinimas

Kad pakeitimai būtų nuolatiniai, turėsime įtraukti šias reikšmes į konfigūracijos failą. Naudokite konfigūracijos failą, kurį „CentOS“ teikia pagal numatytuosius nustatymus, /etc/sysctl.conf.

Atidarykite failą naudodami mėgstamą redaktorių.

Pagal numatytuosius nustatymus turėtumėte pamatyti kažką panašaus į tai.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Pirmiausia patobulinkime sistemos atminties valdymą.

Ketiname iki minimumo sumažinti reikalingų apsikeitimų skaičių, padidinti failų rankenėlių ir įvesties talpyklos dydį bei apriboti pagrindinių ištrynimų skaičių.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Tada sureguliuokite optimizuotą tinklo našumą.

Ketiname pakeisti gaunamų jungčių kiekį ir įeinančių jungčių atsilikimą, padidinti maksimalų atminties buferių kiekį ir padidinti numatytąjį bei maksimalų siuntimo/gavimo buferį.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Galiausiai ketiname pagerinti bendrą tinklo saugumą.

Ketiname įjungti TCP SYN slapukų apsaugą, apsaugą nuo IP klaidinimo, ignoruoti ICMP užklausas, ignoruoti transliavimo užklausas ir prisijungti prie suklastotų paketų, šaltinio nukreiptų paketų ir peradresavimo paketų. Be to, ketiname išjungti IP šaltinio maršrutą ir ICMP peradresavimo priėmimą.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Išsaugokite ir uždarykite failą, tada įkelkite failą naudodami sysctl -pkomandą.

Išvada

Galų gale jūsų failas turėtų atrodyti panašiai.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0