CentOS 7 kodola nodrošināšana un nostiprināšana, izmantojot Sysctl

Ievads

Sysctlļauj lietotājam precīzi noregulēt kodolu, nepārbūvējot kodolu. Tas arī nekavējoties piemēros izmaiņas, tādējādi serveris nebūs jāpārstartē, lai izmaiņas stātos spēkā. Šī apmācība sniedz īsu ievadu sysctlun parāda, kā to izmantot, lai pielāgotu noteiktas Linux kodola daļas.

Komandas

Lai sāktu lietot sysctl, pārskatiet tālāk norādītos parametrus un piemērus.

Parametri

-a : tiks parādītas visas sysctl konfigurācijā pašlaik pieejamās vērtības.

-A : tiks parādītas visas sysctl konfigurācijā pašlaik pieejamās vērtības tabulas veidā.

-e : šī opcija ignorēs kļūdas par nezināmām atslēgām.

-p : tiek izmantots, lai ielādētu noteiktu sysctl konfigurāciju, pēc noklusējuma tas tiks izmantots/etc/sysctl.conf

-n : šī opcija atspējos atslēgu nosaukumu rādīšanu, drukājot vērtības.

-w : šī opcija ir paredzēta vērtību maiņai (vai pievienošanai) sysctl pēc pieprasījuma.

Piemēri

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Tātad vispirms mēs pārbaudām noklusējuma vērtības. Ja lauks /etc/sysctl.confir tukšs, tiks parādītas visas noklusējuma atslēgas un vērtības. Otrkārt, mēs pārbaudām, kāda ir vērtība, fs.file-maxun pēc tam iestatām jauno vērtību uz 2097152. Visbeidzot, mēs ielādējam jauno /etc/sysctl.confkonfigurācijas failu.

Ja meklējat papildu palīdzību, varat izmantot man sysctl.

Kodola nostiprināšana un nostiprināšana

Lai izmaiņas būtu pastāvīgas, mums šīs vērtības būs jāpievieno konfigurācijas failam. Izmantojiet konfigurācijas failu, ko CentOS nodrošina pēc noklusējuma, /etc/sysctl.conf.

Atveriet failu ar savu iecienītāko redaktoru.

Pēc noklusējuma jums vajadzētu redzēt kaut ko līdzīgu šim.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Vispirms uzlabosim sistēmas atmiņas pārvaldību.

Mēs samazināsim veicamo apmaiņu skaitu, palielināsim failu rokturu un inode kešatmiņas lielumu un ierobežosim galveno izgāztuves.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Tālāk ļauj noregulēt tīkla optimizēto veiktspēju.

Mēs mainīsim ienākošo savienojumu skaitu un ienākošo savienojumu skaitu, palielināsim maksimālo atmiņas buferu skaitu un palielināsim noklusējuma un maksimālo sūtīšanas/saņemšanas buferi.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Visbeidzot, mēs uzlabosim vispārējo tīkla drošību.

Mēs iespējosim TCP SYN sīkfailu aizsardzību, aizsardzību pret IP krāpšanos, ICMP pieprasījumu ignorēšanu, apraides pieprasījumu ignorēšanu un reģistrēšanos viltotās paketēs, avota maršrutētās paketes un novirzīšanas paketes. Līdz ar to mēs atspējosim IP avota maršrutēšanu un ICMP novirzīšanas pieņemšanu.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Saglabājiet un aizveriet failu un pēc tam ielādējiet failu, izmantojot sysctl -pkomandu.

Secinājums

Galu galā jūsu failam vajadzētu izskatīties līdzīgi šim.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0