Chinaunix首页 | 论坛 | 博客
  • 博客访问: 12421
  • 博文数量: 2
  • 博客积分: 120
  • 博客等级: 入伍新兵
  • 技术积分: 40
  • 用 户 组: 普通用户
  • 注册时间: 2007-03-01 21:13
文章分类
文章存档

2011年(2)

我的朋友
最近访客

分类: LINUX

2011-06-13 16:40:59

安装完linux系统后,除了做了系统必要的安全以及优化配置后,还需要对内核进行相应的调优,参数如下:

sysctl -w net.ipv4.conf.eth0.accept_source_route=0

sysctl -w net.ipv4.conf.lo.accept_source_route=0

sysctl -w net.ipv4.conf.default.accept_source_route=0

sysctl -w net.ipv4.conf.all.accept_source_route=0

是否接受含有源路由信息的ip包。1表示接受,0表示不接受。在充当网关的linux主机上缺省值为1,在一般的linux主机上缺省值为0。从安全性角度出发,建议关闭该功能。

sysctl -w net.ipv4.tcp_syncookies=1

开启TCP SYN cookies,保护服务器避免受syn-flood攻击,包括服务取决denial-of-service (DoS) 或者分布式服务拒绝distributed denial-of-service (DDoS).如果服务器负载较大,一般把该功能关闭。

sysctl -w net.ipv4.conf.eth0.secure_redirects=1

sysctl -w net.ipv4.conf.lo.secure_redirects=1

sysctl -w net.ipv4.conf.default.secure_redirects=1

sysctl -w net.ipv4.conf.all.secure_redirects=1

安全重定向就是只接受来自网关的重定向”icmp包。该参数就是用来设置安全重定向功能的。参数值为布尔值,1表示启用,0表示禁止,缺省值为启用。

sysctl -w net.ipv4.conf.eth0.accept_redirects=0

sysctl -w net.ipv4.conf.lo.accept_redirects=0

sysctl -w net.ipv4.conf.default.accept_redirects=0

sysctl -w net.ipv4.conf.all.accept_redirects=0

sysctl -w net.ipv4.conf.eth0.send_redirects=0

sysctl -w net.ipv4.conf.lo.send_redirects=0

sysctl -w net.ipv4.conf.default.send_redirects=0

sysctl -w net.ipv4.conf.all.send_redirects=0

如果主机所在的网段中有两个路由器,你将其中一个设置成了缺省网关,但是该网关在收到你的ip包时发现该ip包必须经过另外一个路由器,这时这个路由器就会给你发一个所谓的重定向”icmp包,告诉将ip包转发到另外一个路由器。参数值为布尔值,1表示接收这类重定向icmp 信息,0表示忽略。在充当路由器的linux主机上缺省值为0,在一般的linux主机上缺省值为1。建议将其改为0以消除安全性隐患。

sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

表示内核是否忽略广播和多播请求。
0
响应请求
1
忽略请求

sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1

某些路由器违背RFC1122标准,其对广播帧发送伪造的响应来应答。这种违背行
为通常会被以告警的方式记录在系统日志中。如果该选项设置为1,内核不会
记录这种警告信息。

sysctl -w net.ipv4.tcp_tw_reuse=1

表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接。如果前端机负载比较高,建议打开。

缺省设置:0

sysctl -w net.ipv4.tcp_tw_recycle=1

打开快速 TIME-WAIT sockets 回收。如果前端机负载比较高,建议打开。

缺省设置:0

sysctl -w net.ipv4.tcp_fin_timeout=30

对于本端断开的socket连接,TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为 60 秒。

sysctl -w net.ipv4.tcp_keepalive_time=1800

表示从不再传送数据到向连接上发送保持连接信号之间所需的秒数。

缺省设置:72002小时)

sysctl -w net.core.wmem_max=8388608

指定了发送套接字缓冲区大小的缺省值(以字节为单位)。
缺省设置:110592

sysctl -w net.core.rmem_max=8388608

指定了接收套接字缓冲区大小的最大值(以字节为单位)。
缺省设置:131071

sysctl -w net.ipv4.tcp_rmem="8192 87380 8388608"

该文件包含3个整数值,分别是:mindefaultmax
Min
:为TCP socket预留用于接收缓冲的内存数量,即使在内存出现紧张情况下TCP socket都至少会有这么多数量的内存用于接收缓冲。
Default
:为TCP socket预留用于接收缓冲的内存数量,默认情况下该值影响其它协议使用的 net.core.wmemdefault 值。该值决定了在tcp_adv_win_scaletcp_app_wintcp_app_win的默认值情况下,TCP 窗口大小为65535
Max
:为TCP socket预留用于接收缓冲的内存最大值。该值不会影响 net.core.wmemmax的值,今天选择参数 SO_SNDBUF则不受该值影响。
缺省设置:4096 87380 174760

sysctl -w net.ipv4.tcp_wmem="8192 16384 8388608"

该文件包含3个整数值,分别是:mindefaultmax
Min
:为TCP socket预留用于发送缓冲的内存最小值。每个TCP socket都可以使用它。
Default
:为TCP socket预留用于发送缓冲的内存数量,默认情况下该值会影响其它协议使用的net.core.wmemdefault 值,一般要低于net.core.wmemdefault的值。
Max
:为TCP socket预留用于发送缓冲的内存最大值。该值不会影响net.core.wmem_max,今天选择参数SO_SNDBUF则不受该值影响。默认值为128K

缺省设置:4096 16384 131072

sysctl -w net.ipv4.tcp_max_syn_backlog=4096

对于那些依然还未获得客户端确认的连接请求,需要保存在队列中最大数目。默认1024

阅读(1165) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:pxe+ris-linux实现在DELL R710上网络安装windows2003

给主人留下些什么吧!~~