Zabezpečenie a posilnenie jadra CentOS 7 pomocou Sysctl

Úvod

Sysctlumožňuje používateľovi jemne doladiť jadro bez toho, aby musel jadro prestavovať. Zmeny tiež použije okamžite, takže server nebude musieť byť reštartovaný, aby sa zmeny prejavili. Tento tutoriál poskytuje krátky úvod sysctla ukazuje, ako ho použiť na vylepšenie konkrétnych častí jadra Linuxu.

Príkazy

Ak chcete začať používať sysctl, pozrite si parametre a príklady uvedené nižšie.

Parametre

-a : Toto zobrazí všetky aktuálne dostupné hodnoty v konfigurácii sysctl.

-A : Toto zobrazí všetky aktuálne dostupné hodnoty v konfigurácii sysctl vo forme tabuľky.

-e : Táto možnosť bude ignorovať chyby týkajúce sa neznámych kľúčov.

-p : Používa sa na načítanie špecifickej konfigurácie sysctl, štandardne sa použije/etc/sysctl.conf

-n : Táto možnosť zakáže zobrazovanie názvov kľúčov pri tlači hodnôt.

-w : Táto voľba slúži na zmenu (alebo pridanie) hodnôt do sysctl on-demand.

Príklady

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Najprv teda kontrolujeme predvolené hodnoty. Ak je vaša /etc/sysctl.confprázdna, zobrazia sa všetky predvolené kľúče a hodnoty. Po druhé, kontrolujeme, aká je hodnota fs.file-maxa potom nastavíme novú hodnotu na 2097152. Nakoniec načítavame nový /etc/sysctl.confkonfiguračný súbor.

Ak hľadáte ďalšiu pomoc, môžete použiť man sysctl.

Zabezpečenie a vytvrdenie jadra

Aby boli zmeny trvalé, budeme musieť tieto hodnoty pridať do konfiguračného súboru. Použite konfiguračný súbor, ktorý CentOS štandardne poskytuje, /etc/sysctl.conf.

Otvorte súbor pomocou svojho obľúbeného editora.

V predvolenom nastavení by ste mali vidieť niečo podobné.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Najprv vylepšíme správu systémovej pamäte.

Budeme minimalizovať množstvo swapovania, ktoré musíme urobiť, zväčšiť veľkosť popisovačov súborov a vyrovnávacej pamäte inode a obmedziť výpisy jadra.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Ďalej poďme vyladiť výkon optimalizovaný pre sieť.

Chystáme sa zmeniť množstvo prichádzajúcich pripojení a nevybavených prichádzajúcich pripojení, zvýšiť maximálne množstvo vyrovnávacej pamäte a zvýšiť predvolenú a maximálnu vyrovnávaciu pamäť na odosielanie a prijímanie.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Nakoniec sa chystáme zlepšiť všeobecnú sieťovú bezpečnosť.

Povolíme ochranu súborov cookie TCP SYN, ochranu pred spoofingom IP, ignorovanie požiadaviek ICMP, ignorovanie požiadaviek na vysielanie a prihlasovanie do sfalšovaných paketov, paketov smerovaných do zdrojov a paketov s presmerovaním. Spolu s tým zakážeme smerovanie zdroja IP a prijatie presmerovania ICMP.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Uložte a zatvorte súbor a potom ho načítajte pomocou sysctl -ppríkazu.

Záver

Nakoniec by váš súbor mal vyzerať podobne ako tento.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0