Säkra och härda CentOS 7-kärnan med Sysctl

Introduktion

Sysctllåter användaren finjustera kärnan utan att behöva bygga om kärnan. Den kommer också att tillämpa ändringarna omedelbart, så servern behöver inte startas om för att ändringarna ska träda i kraft. Denna handledning ger en kort introduktion till sysctloch visar hur man använder den för att justera specifika delar av Linux-kärnan.

Kommandon

För att börja använda sysctl, granska parametrarna och exemplen nedan.

Parametrar

-a : Detta kommer att visa alla värden som för närvarande är tillgängliga i sysctl-konfigurationen.

-A : Detta kommer att visa alla värden som för närvarande är tillgängliga i sysctl-konfigurationen i tabellform.

-e : Det här alternativet ignorerar fel om okända nycklar.

-p : Detta används för att ladda en specifik sysctl-konfiguration, som standard kommer den att använda/etc/sysctl.conf

-n : Det här alternativet inaktiverar visningen av nyckelnamnen vid utskrift av värdena.

-w : Det här alternativet är till för att ändra (eller lägga till) värden till sysctl på begäran.

Exempel

$ sysctl -a
$ sysctl -n fs.file-max
$ sysctl -w fs.file-max=2097152
$ sysctl -p

Så först kontrollerar vi standardvärdena. Om din /etc/sysctl.confär tom kommer den att visa alla standardnycklar och värden. För det andra kontrollerar vi vad värdet på fs.file-maxär och ställer sedan in det nya värdet till 2097152. Äntligen laddar vi den nya /etc/sysctl.confkonfigurationsfilen.

Om du letar efter ytterligare hjälp kan du använda man sysctl.

Säkra och härda kärnan

För att göra ändringarna permanenta måste vi lägga till dessa värden i en konfigurationsfil. Använd konfigurationsfilen CentOS tillhandahåller som standard, /etc/sysctl.conf.

Öppna filen med din favoritredigerare.

Som standard bör du se något liknande detta.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

Låt oss först förbättra systemets minneshantering.

Vi kommer att minimera mängden utbyte vi behöver göra, öka storleken på filhandtag och inodcache och begränsa kärndumpar.

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

Låt oss sedan ställa in den nätverksoptimerade prestandan.

Vi kommer att ändra mängden inkommande anslutningar och eftersläpning av inkommande anslutningar, öka den maximala mängden minnesbuffertar och öka standard- och maximala sänd-/mottagningsbuffertar.

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

Slutligen ska vi förbättra den allmänna nätverkssäkerheten.

Vi kommer att aktivera TCP SYN-cookieskydd, IP-spoofing-skydd, ignorera ICMP-förfrågningar, ignorera broadcast-förfrågningar och logga till falska paket, källroutade paket och omdirigeringspaket. Tillsammans med det kommer vi att inaktivera IP-källrouting och ICMP-omdirigeringsacceptans.

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0

Spara och stäng filen och ladda sedan filen med sysctl -pkommandot.

Slutsats

I slutändan bör din fil se ut så här.

# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# Minimizing the amount of swapping
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5

# Increases the size of file handles and inode cache & restricts core dumps
fs.file-max = 2097152
fs.suid_dumpable = 0

# Change the amount of incoming connections and incoming connections backlog
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 262144

# Increase the maximum amount of memory buffers
net.core.optmem_max = 25165824

# Increase the default and maximum send/receive buffers
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864

# Enable TCP SYN cookie protection
net.ipv4.tcp_syncookies = 1

# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Enable ignoring to ICMP requests and broadcasts request
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable logging of spoofed packets, source routed packets and redirect packets
net.ipv4.conf.all.log_martians = 1

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0

# Disable ICMP redirect acceptance
net.ipv4.conf.all.accept_redirects = 0