通过/etc/sysctl.conf控制和配置Linux内核及网络设置。 #忽略icmp ping广播包,应开启,避免放大攻击 net.ipv4.icmp_echo_ignore_broadcasts = 1 # 开启恶意icmp错误消息保护 net.ipv4.icmp_ignore_bogus_error_responses = 1 # 开启SYN洪水攻击保护,表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭 net.ipv4.tcp_syncookies = 1 # 开启并记录欺骗,源路由和重定向包 net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.log_martians = 1 # 处理无源路由的包 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 # reverse-pathfiltering 反向路径过滤,系统收到一个ip包后,会反查该ip包的ip是否与它们到达的网络接口匹配,若不匹配则丢弃。是防ip包欺骗策略。 # The rp_filter can reject incoming packets if their sourceaddress doesn’t match the network interface that they’re arrivingon, which helps to prevent IP spoofing. Turning this on, however,has its consequences: If your host has several IP addresses ondifferent interfaces, or if your single interface has multiple IPaddresses on it, you’ll find that your kernel may end up rejectingvalid traffic. It’s also important to note that even if you do notenable the rp_filter, protection against broadcast spoofing isalways on. Also, the protection it provides is only against spoofedinternal addresses; external addresses can still be spoofed.. Bydefault, it is disabled. net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 #关闭重定向。如果主机所在的网络有多个路由器,你将其中一个设为缺省网关,但该网关在收到你的ip包时,发现该ip包必须经过另外一个路由器,于是该网关就給你的主机发一个“重定向”的icmp包,告诉主机把包转发到另外一个路由器。1表示主机接受这样的重定向包,0表示忽略;linux默认是1,可以设位0以消除隐患。 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 #禁止数据包转发,不做路由器功能。所谓转发即当主机拥有多网卡时,其中一块收到数据包,根据数据包的目的ip地址将包发往本机另一网卡,该网卡根据路由表继续发送数据包。这通常就是路由器所要实现的功能。 #对比网关:内网主机向公网发送数据包时,由于目的主机跟源主机不在同一网段,所以数据包暂时发往内网默认网关处理,而本网段的主机对此数据包不做任何回应。由于源主机ip是私有的,禁止在公网使用,所以必须将数据包的源发送地址修改成公网上的可用ip,这就是网关收到数据包之后首先要做的工作--ip转换。然后网关再把数据包发往目的主机。目的主机收到数据包之后,只认为这是网关发送的请求,并不知道内网主机的存在,也没必要知道,目的主机处理完请求,把回应信息发还给网关。网关收到后,将目的主机发还的数据包的目的ip地址修改为发出请求的内网主机的ip地址,并将其发给内网主机。这就是网关的第二个工作--数据包的路由转发。内网的主机只要查看数据包的目的ip与发送请求的源主机ip地址相同,就会回应,这就完成了一次请求。 net.ipv4.ip_forward = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # 开启execshield,execshield 主要用于随机化堆栈地址,避免被exploit 程序修改恶意地址,而导致执行攻击程序。 kernel.exec-shield = 1 kernel.randomize_va_space = 1 # IPv6设置 net.ipv6.conf.default.router_solicitations = 0 net.ipv6.conf.default.accept_ra_rtr_pref = 0 net.ipv6.conf.default.accept_ra_pinfo = 0 net.ipv6.conf.default.accept_ra_defrtr = 0 net.ipv6.conf.default.autoconf = 0 net.ipv6.conf.default.dad_transmits = 0 net.ipv6.conf.default.max_addresses = 1 # 增加系统文件描述符限制 fs.file-max = 65535 # 允许更多的PIDs (减少滚动翻转问题); may break some programs 32768 kernel.pid_max = 65536 # 增加系统IP端口限制 net.ipv4.ip_local_port_range = 2000 65000 # 增加TCP最大缓冲区大小 net.ipv4.tcp_rmem = 4096 87380 8388608 net.ipv4.tcp_wmem = 4096 87380 8388608 # 增加Linux自动调整TCP缓冲区限制 # 最小,默认和最大可使用的字节数 # 最大值不低于4MB,如果你使用非常高的BDP路径可以设置得更高 # Tcp窗口等 net.core.rmem_max = 8388608 net.core.wmem_max = 8388608 net.core.netdev_max_backlog = 5000 net.ipv4.tcp_window_scaling = 1
fishermen
- 浏览: 375172 次
-
文章分类
最新评论
-
fishermen:
使用 <%@ page session="fa ...
Tomcat 的session管理 -
xinyiwust:
楼主你好!你总结的第一点:对于stateless的data s ...
Tomcat 的session管理 -
hujintao:
好像换成JDK目录后还是不行,比如HashMap这些类都不可以 ...
eclipse 调试 跟进 jdk -
顾小五:
是不是一般重写的方法,都有子类继承父类,就是 A extend ...
JAVA方法重载和方法重写 -
jhq986:
好用一定好评
lomboz插件下载
参考:
http://bbs.chinaunix.net/thread-2208198-1-1.html
http://soft.chinabyte.com/os/3/11851003.shtml
http://wenku.baidu.com/link?url=VCgeTBbyHrRdCw0AM8IC51qn17cjut4JI8wDAIReQgkVC4vOP7KA-8ULkV0IcQd-Y23o4WfBt8aDB1tBQo3nVQJKlqBaBHz1VgNbm6cKB27
...
分享到:
发表评论
-
十个最值得阅读的C开源项目(转)
2016-08-02 18:25 5811. Webbench Webbench是一个在l ... -
NOSQL 压测工具
2016-04-11 11:35 13351 memtier_benchmark me ... -
当Transparent hugepage 遇到fork
2016-04-06 18:31 1332线上计数系统遇到一个奇怪的问题,进程在做备 ... -
关于nagle及tcp_nodelay的一些小结
2015-12-22 17:37 1070一 准备知识点 1.1 mss max seg ... -
IP地址分类
2015-12-22 17:35 660注:整理本地资料,有点杂,所以逐步把比较老的资料搬过来,然 ... -
wget 下载jdk
2015-08-14 15:39 845按照之前的做法,直接通过wget 下载jdk:wg ... -
fb的开源分析
2014-09-22 16:32 7211 mcrouter https://code.faceb ... -
redis 的那些事
2014-09-22 15:23 786素材汇集: 1 redis with ssd? ant ... -
nginx 源码分析
2014-06-27 15:42 951近期准备研究一下nginx源码,此处记录一下。 ... -
redis 源码分析
2014-06-27 15:41 871近期准备梳理一下redis代码,此处记录一下。 ... -
linux 常见问题及解决
2014-02-10 11:12 737平时开发中需要连接到虚拟机linux(cent ... -
对Linux 网卡软中断做负载均衡
2013-12-26 16:25 18515测试中发现服务器整体负载较低,但有cpu负 ... -
vim插件YouCompleteMe
2013-10-20 07:34 8029vim开发中代码补全插件太弱(OmniCppComplet ... -
ssh连入远程centos环境下IDE开发
2013-08-20 11:57 1223先在在测试机centos下装eclips ... -
vi 开发快捷键备忘
2013-08-14 16:03 767一 复制 1 复制单行:移动光标到需要复制的行, ... -
使用tc模拟网络慢或异常
2013-07-23 17:04 1487上线前,需要模拟一下网络异常的情况:慢、丢 ... -
mac 使用点滴
2011-12-31 16:24 2178一 快捷方式 1.1 ... -
linux的文件目录
2011-11-30 17:18 972linux 下目录众多,baidu后汇总如下: 1. /bi ... -
手边常用的 linux命令及shell脚本
2009-08-04 22:28 20031 netstat -nltp 开放的端口 2 nets ... -
经典收藏----URL的长度限制,以及get post区别[转载]
2007-06-29 12:00 9250这个是官方的解释:http://support.microso ...
相关推荐
sysctl:LinuxBSD内核调整和网络安全强化优化,通过优化的sysctl调整提高了服务器系统的性能
sysctl 命令被用于在内核运行时动态地修改内核的运行参数,可用的内核参数在目录 /proc/sys 中。它包含一些TCP/IP堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取...
Linux内核与用户空间通信的方式目前主要有9种,分别是内核启动参数、模块参数与 sysfs、sysctl、系统调用、netlink、procfs、seq_file、debugfs和relayfs。Netlink是一种特殊的文件描述符(套结字),为2.6.14及更高...
大部分读者可能对进程间通信比较了解,但对应用与内核之间的数据交换机制可能了解甚少,本文将详细介绍 Linux 系统下内核与应用进行数据交换的各种方式,包括内核启动参数、模块参数与 sysfs、sysctl、系统调用、...
Linux 用户态和内核态由于 CPU 权限的限制,通信并不像想象中的使用进程间通信方式那么简单,今天这篇文章就来看看 Linux 用户态和内核态究竟有哪些通信方式。 我们平常在写代码时,一般是在用户空间,通过系统调用...
1 内核参数的查看方法 ... 所有的内核参数的说明文档是放到/usr/src/linux/Documentation/sysctl中的,如果想知道对内核参数的说明,可以到该目录下查看相应的说明文档。 2 内核参数的的设置方法 由
大多数 Linux 发布版都定义了适当的缓冲区和其他 Transmission Control Protocol(TCP)参数。可以修改这些参数来分配更多的内存,...清单 2 展示在互联网服务器上应用于 Internet 服务器的一些比较激进的网络设置。
下面说明与网络编程关系较为紧密的部分内核参数。 一、 / proc/sys/fs 目录下的部分文件 /proc/sys/fs 目录下的内核参数都与文件系统有关。对于服务器程序来说,其中重要的是如下的两个参数: /proc/sys/fs...
由于Linux的内核参数信息都存在...但是,当系统重新启动后,原来设置的参数值就会丢失,而系统每次启动时都会自动去/etc/sysctl.conf文件中读取内核参数,因此将内核的参数配置写入这个文件中,是一个比较好的选择。
此板条箱提供了一个安全的接口,用于使用sysctl接口将信息读取和写入内核。 支持FreeBSD,Linux和macOS。此板条箱提供了一个安全的接口,用于使用sysctl接口将信息读写到内核。 支持FreeBSD,Linux和macOS。 欢迎为...
一键安装内核见 https://github.com/ylx2016/Linux-NetSpeed/releases c6-c8 = centos6-centos8 d9-d10=debian9-debian10 u16-u19=ubuntu16-19 激活bbrplus echo ...
从ORACLE 11gR2 for linux版本,已经不需要DBA们手动去编辑/etc/sysctl.conf文 件和/etc/security/limits.conf文件来修改操作系统的内核参数和限额,这些工作ORACL E会生成一个脚本,DBA只需要用root用户执行一下这...
CentOS优化配置 可以通过/etc/sysctl.conf控制和配置Linux内核及网络设置。 Sysctl是一个允许改变正在运行中的Linux系统的接口,它包含一些TCP/IP堆栈和虚拟内存系统的高级选项。
11.10.1 使用脚本对DNS设置进行耐 压测试 222 11.10.2 使用转储和日志调试 223 11.11 其他DNS文档 223 11.12 小结 224 第12章 NIS:网络信息服务 225 12.1 了解NIS 225 12.1.1 NIS域 226 12.1.2 不同的服务器 226 ...
解决方法:通过修改Linux内核参数,可以减少linux服务器的IME_WAIT套接字数量。vi /etc/sysctl.conf增加以下几行: 代码如下:...
关闭swap 如果服务器上有运行数据库服务或消息中间件服务,请关闭交换分区 echo vm.swappiness = 0 >> /etc/...为了避免核心服务被杀,可以将进程文件设置为最高优先级。 # 数值越小越不容易被杀 echo -17 > /pro
linux环境下oracle10g安装 1.连接putty 2.用root登录后建立用户和组 新增oinstall、dba用户组,oracle用户 [root@oracle10g /]# groupadd oinstall [root@oracle10g /]# groupadd dba [root@oracle10g /]# useradd ...
原来Linux内核对于进程的数量使用 pid_max 做控制。 做一些简单的试验,如下演示获取当前配置值的方法: # cat /proc/sys/kernel/pid_max 32768 # sysctl -a|grep pid_max kernel.pid_max = 32768 如下是 sysctl ...