Zavarovanje in utrjevanje jedra CentOS 7 s Sysctl

Uvod

Sysctluporabniku omogoča natančno nastavitev jedra, ne da bi mu bilo treba jedro znova zgraditi. Prav tako bo takoj uporabil spremembe, zato strežnika ne bo treba znova zagnati, da spremembe začnejo veljati. Ta vadnica ponuja kratek uvod sysctlin prikazuje, kako jo uporabiti za prilagajanje določenih delov jedra Linuxa.

Ukazi

Če želite začeti uporabljati sysctl, preglejte spodnje parametre in primere.

Parametri

-a : To bo prikazalo vse vrednosti, ki so trenutno na voljo v konfiguraciji sysctl.

-A : To bo prikazalo vse vrednosti, ki so trenutno na voljo v konfiguraciji sysctl v obliki tabele.

-e : ta možnost bo prezrla napake o neznanih ključih.

-p : Uporablja se za nalaganje določene konfiguracije sysctl, privzeto bo uporabljena/etc/sysctl.conf

-n : Ta možnost bo onemogočila prikazovanje imen ključev pri tiskanju vrednosti.

-w : Ta možnost je za spreminjanje (ali dodajanje) vrednosti sysctl na zahtevo.

Primeri

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Torej najprej preverimo privzete vrednosti. Če je vaš /etc/sysctl.confprazen, bodo prikazani vsi privzeti ključi in vrednosti. Drugič, preverimo, kakšna je vrednost fs.file-maxin nato nastavimo novo vrednost na 2097152. Končno naložimo novo /etc/sysctl.confkonfiguracijsko datoteko.

Če iščete dodatno pomoč, lahko uporabite man sysctl.

Zavarovanje in utrjevanje jedra

Da bodo spremembe trajne, bomo morali te vrednosti dodati v konfiguracijsko datoteko. Uporabite konfiguracijsko datoteko, ki jo privzeto ponuja CentOS, /etc/sysctl.conf.

Odprite datoteko s svojim najljubšim urejevalnikom.

Privzeto bi morali videti nekaj podobnega temu.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Najprej izboljšajmo upravljanje sistemskega pomnilnika.

Zmanjšali bomo količino zamenjave, ki jo moramo opraviti, povečali bomo velikost ročic datotek in predpomnilnika inode ter omejili izpise jedra.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Nato nastavimo optimizirano zmogljivost omrežja.

Spremenili bomo količino dohodnih povezav in zaostankov dohodnih povezav, povečali bomo največjo količino pomnilniških pomnilnikov ter povečali privzete in največje medpomnilnike za pošiljanje/sprejemanje.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Končno bomo izboljšali splošno varnost omrežja.

Omogočili bomo zaščito piškotkov TCP SYN, zaščito pred ponarejanjem IP, ignoriranje zahtev ICMP, ignoriranje zahtev za oddajanje in beleženje v ponarejene pakete, izvorno usmerjene pakete in preusmeritvene pakete. Poleg tega bomo onemogočili usmerjanje vira IP in sprejem preusmeritve ICMP.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Shranite in zaprite datoteko, nato pa jo naložite z sysctl -pukazom.

Zaključek

Na koncu bi morala vaša datoteka izgledati podobno.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0