如何正确配置sysctl保护服务器安全
【小Y 提醒】文章部分内容收集整理于互联网,仅作参考!如需咨询“如何正确配置sysctl保护服务器安全”等有关服务器、云主机租用、托管、配置、价格问题,请立即咨询YINGSOO客服,获取专业解答!
【推荐主机】荷兰物理服务器 | 法国物理服务器 | 日本云服务器
【主机百科】租用境外服务器对网站SEO有无影响?影响在哪?
要保护您的Linux服务器免受SYN攻击和IP欺骗并不像你想象的那么难,今天向您简单介绍如何保护你的服务器。
sysctl允许你对运行中的Linux内核进行修改。这个工具可以读取和修改内核的各种属性,比如版本号、最大限制和一些安全设置。
sysctl还可以防止SYN泛滥攻击和IP地址欺骗。它还可以记录几种类型的可疑数据包--被欺骗的数据包、源路由数据包和重定向。
你可以在运行时用sysctl命令修改内核参数,或者你可以在配置文件中进行修改,这样这些修改就更具有永久性。
我想向您展示如何通过快速编辑配置文件来保护sysctl。这个配置将:
禁用IP转发
禁用发送数据包重定向
禁用ICMP重定向接受
准备工作:
正常运行的Linux服务器和具有sudo特权的用户账户。
注意:这里将在Ubuntu Server 18.04上进行演示,但是大多数Linux发行版上的过程都是相同的。
1、如何编辑sysctl配置文件
登录到Linux服务器或台式机,然后打开一个终端窗口。从该终端发出命令:
sudo nano /etc/sysctl.conf
要查找的第一个选项是:
#net.ipv4.ip_forward=1
将该行更改为:
net.ipv4.ip_forward=0
下一行要编辑的是:
#net.ipv4.conf.all.send_redirects = 0
更改为:
net.ipv4.conf.all.send_redirects = 0
在其下添加以下行:
net.ipv4.conf.default.send_redirects = 0
寻找这行:
#net.ipv4.conf.all.accept_redirects = 0
更改为:
net.ipv4.conf.all.accept_redirects = 0
在其下添加以下行:
net.ipv4.conf.default.accept_redirects = 0
最后,在文件底部添加以下几行:
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45
上面的代码行如下:
启用错误错误消息保护
启用SYN cookie以确保服务器在SYN队列填满时避免断开连接
将SYS待办事项队列大小增加到2048
提前关闭SYN_RECV状态连接
降低SYN_RECV的超时值,以帮助减少SYN Flood攻击
保存并关闭文件。
2、如何重新加载配置
您可以通过以下命令重新加载配置:
sudo sysctl -p
sysctl -p命令的一个警告是,我发现它没有正确加载tcp_max_syn_backlog。直到重新启动后,才添加2048值。因此,在运行sudo sysctl -p命令后,发出以下命令:
sudo less /proc/sys/net/ipv4/tcp_max_syn_backlog
确保显示的值是2048。
如果该值更小,则重新启动服务器。
此时,应该更好地保护Linux服务器免受SYN攻击和IP地址欺骗。享受新发现的安全性。
优惠产品:香港云服务器租用去首页注册领券!YINGSOO推出Phala挖矿服务器、Chia奇亚农场服务器、Swarm物理节点服务器、Swarm母鸡服务器、Swarm云节点服务器、国内矿机服务器海外托管、《Phala PHA挖矿资料大全》,《swarm bzz挖矿资料大全》,Swarm Bee节点租用请咨询YINGSOO客服!官网WWW.YINGSOO.com
版权声明:本站文章来源标注为YINGSOO的内容版权均为本站所有,欢迎引用、转载,请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站,禁止在非www.yingsoo.com所属的服务器上建立镜像,否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来,仅供学习参考,不代表本站立场,如有内容涉嫌侵权,请联系alex-e#qq.com处理。
关注官方微信