配置sysctl.conf檔案來最佳化系統

安全劍客發表於2020-07-23
導讀 Sysctl是一個功能強大的工具,用於在核心執行時動態地修改核心的引數,在這個 的幫助下,可以修改核心引數,而無需重新編譯核心或重啟系統。

可以在/proc/sys目錄下找到可供修改的引數。因此,procfs(能夠透過檔案系統與核心通訊的檔案系統模擬)對於“sysctl”是必需的。只有root使用者才能執行此 。

使用sysctl命令修改核心引數

核心引數可以臨時或永久修改。核心引數的臨時修改如下:
讀取當前核心的引數:

[root@localhost ~]# sysctl -a

使用 -w臨時修改核心引數。例如,禁止其他裝置ping本機:

[root@localhost ~]# sysctl -w net.ipv4.icmp_echo_ignore_all=1
net.ipv4.icmp_echo_ignore_all = 1

配置sysctl.conf檔案來最佳化系統配置sysctl.conf檔案來最佳化系統
值“ 0”代表“關”,值“ 1”代表“開”。這些更改是臨時的,重啟系統後重置引數。

永久修改核心引數

在/etc/sysctl.conf檔案中新增引數和值,例如,禁止其他裝置ping本機,修改sysctl.conf配置檔案後,需要執行 sysctl -p命令從檔案/etc/sysctl.conf檔案中載入sysctl設定。:

[root@localhost ~]# echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf 
[root@localhost ~]# sysctl -p
net.ipv4.icmp_echo_ignore_all = 1

配置sysctl.conf檔案來最佳化系統配置sysctl.conf檔案來最佳化系統

幾個sysctl使用例項
控制資料包轉發

僅在充當閘道器的伺服器上啟用IP資料包轉發。在其他伺服器中,可以禁用此功能。

[root@localhost ~]# echo "net.ipv4.ip_forward = 0" >> /etc/sysctl.conf 
[root@localhost ~]# sysctl -p
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.ip_forward = 0

配置sysctl.conf檔案來最佳化系統配置sysctl.conf檔案來最佳化系統

停用swap分割槽

在使用kubernetes環境的時候需要關掉swap分割槽,為了效能考慮。

[root@localhost ~]# echo "vm.swappiness = 0" >> /etc/sysctl.conf 
[root@localhost ~]# sysctl -p
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.ip_forward = 0
vm.swappiness = 0

配置sysctl.conf檔案來最佳化系統配置sysctl.conf檔案來最佳化系統

SYN防洪

防止SYN Flood攻擊,需要開啟此項。

[root@localhost ~]# echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf 
[root@localhost ~]# sysctl -p
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.ip_forward = 0
vm.swappiness = 0
net.ipv4.tcp_syncookies = 1

配置sysctl.conf檔案來最佳化系統配置sysctl.conf檔案來最佳化系統

允許系統開啟的埠範圍
[root@localhost ~]# echo "net.ipv4.ip_local_port_range = 1024    65000" >> /etc/sysctl.conf 
[root@localhost ~]# sysctl -p
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.ip_forward = 0
vm.swappiness = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.ip_local_port_range = 1024    65000

配置sysctl.conf檔案來最佳化系統配置sysctl.conf檔案來最佳化系統

總結

Sysctl是一個功能強大的工具,用於在核心執行時動態地修改核心的引數,在這個命令的幫助下,可以修改核心引數,而無需重新編譯核心或重啟系統。

本文原創地址:

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2706342/,如需轉載,請註明出處,否則將追究法律責任。

相關文章