linux系统优化加固

简介:

本文系统:

1
2
3
4
[root@xxxxxx~] # cat /etc/issue
Red Hat Enterprise Linux Server release 5.8 (Tikanga)
[root@xxxxxx ~] # uname -a
Linux xxxxxx 2.6.18-308.el5  #1 SMP Fri Jan 27 17:17:51 EST 2012 x86_64 x86_64 x86_64 GNU/Linux

优化一、/etc/security/limits.conf

优化二、/etc/sysctl.conf


1、/etc/security/limits.conf

limits.conf的后端是这样工作的:limits.conf是pam_limits.so的配置文件,然后/etc/pam.d/下的应用程序调 用pam_***.so模块。譬如说,当用户访问服务器,服务程序将请求发送到PAM模块,PAM模块根据服务名称在/etc/pam.d目录下选择一个 对应的服务文件,然后根据服务文件的内容选择具体的PAM模块进行处理。

Tips:当用户登录主机,会调用pam_limits.so

1
2
cat  /etc/pam .d /login 
session required  /lib64/security/pam_limits .so

1.1、

pam_limits.so模块的主要功能是限制用户会话过程中对各种系统资源的使用情况。缺省情况下该模块的配置文件是/etc/security/limits.conf。而该配置文件的基本格式实际上是由4个字段组成的表,其中具体限制格式:

1
username|@groupname   type   resource  limit


username|@groupname:设置需要被限制的用户名,组名前面加@和用户名区别。也可以用通配符*来做所有用户的限制。

type:有 soft,hard 和 -,

soft 指的是当前系统生效的设置值。

hard 表明系统中所能设定的最大值。

soft 的限制不能比har 限制高。

用 - 就表明同时设置了 soft 和 hard 的值。


resource:

- core - 限制内核文件的大小
- date - 最大数据大小
- fsize - 最大文件大小
- memlock - 最大锁定内存地址空间
- nofile - 打开文件的最大数目
- rss - 最大持久设置大小
- stack - 最大栈大小
- cpu - 以分钟为单位的最多 CPU 时间
- noproc - 进程的最大数目
- as - 地址空间限制
- maxlogins - 此用户允许登录的最大数目
- maxsyslogins  - 用户登入最大数目
- priority - 用户进程优先级(负数值)
- locks - 最大locks文件最值
- sigpending - 最大数量的等待信号

- msgqueue - postfix消息队列最大内存使用空间
- nice -  允许使用最大“好心值”
- rtprio -  无特权进程中最大实际优及级

Tips:
要使 limits.conf 文件配置生效,必须要确保 pam_limits.so 文件被加入到启动文件中。
查看 /etc/pam.d/login 文件中有:
session required /lib/security/pam_limits.so

1.2、主机参考配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
#<domain>      <type>  <item>         <value>
#
 
#*               soft    core            0
#*               hard    rss             10000
#@student        hard    nproc           20
#@faculty        soft    nproc           20
#@faculty        hard    nproc           50
#ftp             hard    nproc           0
#@student        -       maxlogins       4
*               soft    core            unlimited
*               hard    core            unlimited
*               soft    fsize           unlimited
*               hard    fsize           unlimited
*               soft    data            unlimited
*               hard    data            unlimited
*               soft    nproc           1048756
*               hard    nproc           1048756
*               soft    stack           unlimited
*               hard    stack           unlimited
*               soft    nofile          1048576
*               hard    nofile          1048576
*               hard    sigpending      1056639
*               soft    sigpending      1056639
# End of file

1.2、

Ulimit命令

设置限制     可以把命令加到profile文件里,也可以在/etc/security/limits.conf文件中定义

限制。

命令参数

-a      显示所有限制

-c      core文件大小的上限

-d      进程数据段大小的上限

-f      shell所能创建的文件大小的上限

-m     驻留内存大小的上限

-s      堆栈大小的上限

-t      每秒可占用的CPU时间上限

-p     管道大小

-n     打开文件数的上限

-u     进程数的上限

-v     虚拟内存的上限


2、/etc/sysctl.conf

Sysctl是一个允许您改变正在运行中的Linux系统的接口。它包含一些 TCP/IP 堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。基于这点,sysctl(8) 提供两个功能:读取和修改系统设置。

调优的内核变量存在两种主要接口:sysctl命令和/proc文件系统;二者是相对应的关系;

proc中与进程无关的所有信息都被移植到sysfs中。

IPV4协议栈的 sysctl参数主要是sysctl.net.core、sysctl.net.ipv4,对应的/proc文件系统是/proc/sys/net /ipv4和/proc/sys/net/core。只有内核在编译时包含了特定的属性,该参数才会出现在内核中。

对于内核参数应该谨慎调节,这些参数通常会影响到系统的整体性能。内核在启动时会根据系统的资源情况来初始化特定的变量,这种初始化的调节一般会满足通常的性能需求。

应用程序通过socket系统调用和远程主机进行通讯,每一个socket都有一个读写缓冲区。读缓冲区保存了远程主机发送过来的数据,如果缓冲区已满, 则数据会被丢弃,写缓冲期保存了要发送到远程主机的数据,如果写缓冲区已慢,则系统的应用程序在写入数据时会阻塞。可知,缓冲区是有大小的。

socket缓冲区默认大小

1
2
/proc/sys/net/core/rmem_default      对应net.core.rmem_default
/proc/sys/net/core/wmem_default      对应net.core.wmem_default

    上面是各种类型socket的默认读写缓冲区大小,然而对于特定类型的socket则可以设置独立的值覆盖默认值大小。例如tcp类型的socket就可以用/proc/sys/net/ipv4/tcp_rmem和tcp_wmem来覆盖。

socket缓冲区最大值:

1
2
3
/proc/sys/net/core/rmem_max         对应net.core.rmem_max
/proc/sys/net/core/wmem_max         对应net.core.wmem_max
/proc/sys/net/core/netdev_max_backlog     对应 net.core.netdev_max_backlog

    该参数定义了当接口收到包的速率大于内核处理包的速率时,设备的输入队列中的最大报文数。

1
/proc/sys/net/core/somaxconn         对应 net.core.somaxconn

    通过listen系统调用可以指定的最大accept队列backlog,当排队的请求连接大于该值时,后续进来的请求连接会被丢弃。

1
/proc/sys/net/core/optmem_max           对应 net.core.optmem_max

    每个socket的副缓冲区大小。

TCP/IPV4内核参数:
    在创建socket的时候会指定socke协议和地址类型。TCP socket缓冲区大小是他自己控制而不是由core内核缓冲区控制。

1
2
/proc/sys/net/ipv4/tcp_rmem      对应net.ipv4.tcp_rmem
/proc/sys/net/ipv4/tcp_wmem      对应net.ipv4.tcp_wmem

    以上是TCP socket的读写缓冲区的设置,每一项里面都有三个值,第一个值是缓冲区最小值,中间值是缓冲区的默认值,最后一个是缓冲区的最大值,虽然缓冲区的值不受core缓冲区的值的限制,但是缓冲区的最大值仍旧受限于core的最大值。

1
/proc/sys/net/ipv4/tcp_mem


    该内核参数也是包括三个值,用来定义内存管理的范围,第一个值的意思是当page数低于该值时,TCP并不认为他为内存压力,第二个值是进入内存的压力区 域时所达到的页数,第三个值是所有TCP sockets所允许使用的最大page数,超过该值后,会丢弃后续报文。page是以页面为单位的,为系统中socket全局分配的内存容量。

1
/proc/sys/net/ipv4/tcp_window_scaling       对应net.ipv4.tcp_window_scaling

    管理TCP的窗口缩放特性,因为在tcp头部中声明接收缓冲区的长度为26位,因此窗口不能大于64K,如果大于64K,就要打开窗口缩放。

1
/proc/sys/net/ipv4/tcp_sack     对应net.ipv4.tcp_sack

    管理TCP的选择性应答,允许接收端向发送端传递关于字节流中丢失的序列号,减少了段丢失时需要重传的段数目,当段丢失频繁时,sack是很有益的。

1
/proc/sys/net/ipv4/tcp_dsack    对应net.ipv4.tcp_dsack

    是对sack的改进,能够检测不必要的重传。

1
/proc/sys/net/ipv4/tcp_fack     对应net.ipv4.tcp_fack

    对sack协议加以完善,改进tcp的拥塞控制机制。

TCP的连接管理:

1
/proc/sys/net/ipv4/tcp_max_syn_backlog     对应net.ipv4.tcp_max_syn_backlog

    每一个连接请求(SYN报文)都需要排队,直至本地服务器接收,该变量就是控制每个端口的 TCP SYN队列长度的。如果连接请求多余该值,则请求会被丢弃。

1
/proc/sys/net/ipv4/tcp_syn_retries     对应net.ipv4.tcp_syn_retries

    控制内核向某个输入的SYN/ACK段重新发送相应的次数,低值可以更好的检测到远程主机的连接失败。可以修改为3

1
/proc/sys/net/ipv4/tcp_retries1     对应net.ipv4.tcp_retries1

    该变量设置放弃回应一个tcp连接请求前,需要进行多少次重试。

1
/proc/sys/net/ipv4/tcp_retries2     对应net.ipv4.tcp_retries2

    控制内核向已经建立连接的远程主机重新发送数据的次数,低值可以更早的检测到与远程主机失效的连接,因此服务器可以更快的释放该连接,可以修改为5

TCP连接的保持:

1
/proc/sys/net/ipv4/tcp_keepalive_time         对应net.ipv4.tcp_keepalive_time

    如果在该参数指定的秒数内连接始终处于空闲状态,则内核向客户端发起对该主机的探测

1
/proc/sys/net/ipv4/tcp_keepalive_intvl     对应net.ipv4.tcp_keepalive_intvl

    该参数以秒为单位,规定内核向远程主机发送探测指针的时间间隔

1
/proc/sys/net/ipv4/tcp_keepalive_probes    对应net.ipv4.tcp_keepalive_probes

    该参数规定内核为了检测远程主机的存活而发送的探测指针的数量,如果探测指针的数量已经使用完毕仍旧没有得到客户端的响应,即断定客户端不可达,关闭与该客户端的连接,释放相关资源。

1
/proc/sys/net/ipv4/ip_local_port_range    对应net.ipv4.ip_local_port_range

    规定了tcp/udp可用的本地端口的范围。

TCP连接的回收:

1
/proc/sys/net/ipv4/tcp_max_tw_buckets      对应net.ipv4.tcp_max_tw_buckets

   该参数设置系统的TIME_WAIT的数量,如果超过默认值则会被立即清除。

1
/proc/sys/net/ipv4/tcp_tw_reuse            对应net.ipv4.tcp_tw_reuse

   该参数设置TIME_WAIT重用,可以让处于TIME_WAIT的连接用于新的tcp连接

1
/proc/sys/net/ipv4/tcp_tw_recycle          对应net.ipv4.tcp_tw_recycle

   该参数设置tcp连接中TIME_WAIT的快速回收。

1
/proc/sys/net/ipv4/tcp_fin_timeout        对应net.ipv4.tcp_fin_timeout

   设置TIME_WAIT2进入CLOSED的等待时间。

1
/proc/sys/net/ipv4/route/max_size

   内核所允许的最大路由数目。

1
/proc/sys/net/ipv4/ip_forward

   接口间转发报文

1
/proc/sys/net/ipv4/ip_default_ttl

   报文可以经过的最大跳数

虚拟内存参数:

/proc/sys/vm/

   在linux kernel 2.6.25之前通过ulimit -n(setrlimit(RLIMIT_NOFILE))设置每个进程的最大打开文件句柄数不能超过NR_OPEN(1024*1024),也就是 100多w(除非重新编译内核),而在25之后,内核导出了一个sys接口可以修改这个最大值/proc/sys/fs/nr_open。shell里不 能直接更改,是因为登录的时候pam已经从limits.conf中设置了上限,ulimit命令只能在低于上限的范围内发挥了。


Linux中查看socket状态:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
cat  /proc/net/sockstat  
sockets: used 6794
TCP: inuse 13 orphan 0 tw 1 alloc 6352 mem 31
UDP: inuse 11 mem 1
UDPLITE: inuse 0
RAW: inuse 0
FRAG: inuse 0 memory 0
说明:
sockets: used:已使用的所有协议套接字总量
TCP: inuse:正在使用(正在侦听)的TCP套接字数量。其值≤  netstat  –lnt |  grep  ^tcp |  wc  –l
TCP: orphan:无主(不属于任何进程)的TCP连接数(无用、待销毁的TCP socket数)
TCP: tw:等待关闭的TCP连接数。其值等于 netstat  –ant |  grep  TIME_WAIT |  wc  –l
TCP:alloc(allocated):已分配(已建立、已申请到sk_buff)的TCP套接字数量。其值等于 netstat  –ant |  grep  ^tcp |  wc  –l
TCP:mem:套接字缓冲区使用量(单位不详。用 scp 实测,速度在4803.9kB /s 时:其值=11, netstat  –ant 中相应的22端口的Recv-Q=0,Send-Q≈400)
UDP:inuse:正在使用的UDP套接字数量
RAW:
FRAG:使用的IP段数量

Tips 如下配置可以执行百万链接    #服务器端

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_keepalive_probes = 9
net.ipv4.tcp_keepalive_intvl = 75
net.ipv4.tcp_max_tw_buckets = 50000
net.ipv4.tcp_max_syn_backlog = 8192
net.core.somaxconn = 2048
net.core.rmem_default = 262144
net.core.wmem_default = 262144
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 4096 16777216
net.ipv4.tcp_wmem = 4096 4096 16777216
net.ipv4.tcp_mem = 786432 2097152 3145728
net.ipv4.tcp_max_syn_backlog = 16384
net.core.netdev_max_backlog = 20000
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_max_orphans = 131072
fs.aio-max-nr = 1048576
fs. file -max = 65535000
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.arp_filter = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.sem = 250 64000 100 2048
kernel.shmmax = 17179869184
kernel.shmmni = 40960
kernel.shmall = 68719476736
net.core.netdev_max_backlog = 20000
net.core.rmem_default = 262144
net.core.rmem_max = 16777216
net.core.wmem_default = 262144
net.core.wmem_max = 16777216
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.ip_forward = 0
net.ipv4.ip_local_port_range = 1024 65500
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_max_syn_backlog = 16384
vm.overcommit_memory = 0
vm.swappiness = 60
net.ipv4.netfilter.ip_conntrack_max = 655360
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 1200

此内核加载后两项配置需要先加载模块 ip_conntrack 

首先执行 

1
modprobe ip_conntrack

内核为  2.6.32 的话;

后两项配置项为:

1
net.netfilter.nf_conntrack_max = 655360
1
net.netfilter.nf_conntrack_tcp_timeout_established = 1200




本文转自 西索oO 51CTO博客,原文链接:http://blog.51cto.com/lansgg/1576200
相关文章
|
网络协议 应用服务中间件 Linux
Linux服务器系统优化:sysctl.conf文件(内核及网络设置)
Linux服务器系统优化:sysctl.conf文件(内核及网络设置)
5976 0
|
6天前
|
监控 安全 Linux
《Linux 简易速速上手小册》第8章: 安全性与加固(2024 最新版)
《Linux 简易速速上手小册》第8章: 安全性与加固(2024 最新版)
29 0
|
6天前
|
域名解析 监控 Linux
Linux - Linux系统优化思路
Linux - Linux系统优化思路
47 0
Linux - Linux系统优化思路
|
6天前
|
缓存 网络协议 安全
Linux 优化实战(网络层面和系统层面的系统优化)
Linux 优化实战(网络层面和系统层面的系统优化)
31 0
|
6天前
|
安全 Ubuntu Linux
linux|奇怪的知识---账号安全加固,ssh安全加固
linux|奇怪的知识---账号安全加固,ssh安全加固
110 0
|
9月前
|
运维 Linux 网络安全
【运维杂谈】如何进行Linux系统优化
【运维杂谈】如何进行Linux系统优化
101 1
|
移动开发 安全 网络协议
linux主机加固
linux主机加固
|
安全 Unix Linux
全网最全安全加固指南之linux系统加固
全网最全安全加固指南之linux系统加固
1131 0
|
安全 Unix Linux
系统加固之Linux安全加固
系统加固之Linux安全加固
271 0
系统加固之Linux安全加固
|
运维 安全 Linux
linux服务器安全防护加固防黑客攻击方案
对于咱们 Linux系统来说,其实它的运维是运维,它的安全方面加固是方方面面的,这涉及到的东西有点多,安全加固牵扯到的安全因素和运维不是一回事。然后咱们今天主要挑其中的几点来为大家来讲一下,也是一些比较基础的。今天周一,因为我们这一周都是讲安全相关的,我来起个头就讲一些比较基础的。其实咱们对于Linux系统加固,对于系统架构,咱们首先要从以下几个方面来进行考虑。首先是用户安全,其次是文件安全以及登录安全这三个首先要从这三个方面来进行考虑,然后再考虑咱们的业务,包括一些咱们的服务在考虑他们的性能。
133 1
linux服务器安全防护加固防黑客攻击方案