IPV4的几个内核安全管理功能

IPV4的内核管理功能/proc/sys/net/ipv4/*


/etc/sysctl.conf文件记录了系统的设置值

/proc/sys/net/ipv4/tcp_syncookies(在负载较高的服务环境下不建议开启)

  • client对server发起tcp连接时,server在收到SYN数据包后,要求client回复一个序号,序号包括原SYN信息ip、port等,若client正常回复,server才会发送SYN/ACK建立后续连接(防SYN Flooding)

/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts(建议开启)

  • 不对广播icmp数据包进行回应,icmp_echo_ignore_all则表示不对所以的icmp包回应

/proc/sys/net/ipv4/conf/接口/*

  • rp_filter:逆向路径过滤,ip1对应的是eth0网卡,若从eth1网卡收到ip1则不合理,应丢弃(开启)
  • log_martians:过滤不合法的ip来源,如收到0.0.0.0 和class E的ip是不合法的(开启)
  • accept_redirects:来源通过本主机转发,但有一条更好的路径不需要通过本主机(建议关闭)
  • send_redirects:上一个基础上,发送icmp redirects通知(建议关闭)

修改:echo 1 > /proc/sys.....  或 进/etc/sysctl.conf修改

时间: 2024-10-14 04:09:03

IPV4的几个内核安全管理功能的相关文章

内核的功能

进程管理 内存管理 文本系统管理 网络功能管理 设备驱动程序管理 安全机制管理

内存管理以及相关函数(系统调用和内核函数功能和实现)资料(汇总)

http://blog.csdn.net/flyingdon/article/details/5107346 kmalloc http://blog.csdn.net/gxfan/article/details/2723455 kmalloc vmalloc和kmap的区别以及下一篇关于内存布局 http://blog.csdn.net/xiaojsj111/article/details/11817587 kmap的实现 http://blog.chinaunix.net/uid-266697

网络地址转换实验

1.概念 网络地址转换用于控制网络封包的表面源或所需目标地址. 基于主机的简单防火墙只具有 INPUT 链中的规则,以 ACCEPT 或 REJECT 封包,但是在专用(不可路由)网络的网关或路由器上,通常使用 PREROUTING 和 POSTROUTING 链修改封包.nat 表使用三条链: PREROUTING . OUTPUT 和 POSTROUTING .当路由器修改通过其的网络通信的源或目标 IP 地址或端口时,进行网络地址转换.它用于映射使用单个 IP 地址的计算机网络,以使其可以

虚拟化网络之OpenvSwitch

OpenvSwitch简称OVS,官网(http://openvswitch.org/) OVS是一个高质量.多层的虚拟交换软件,即虚拟交换机. OpenvSwitch的见的相关组件: ovs-vswitchd:实现switch的daemon功能,包括一个支持流交换的Linux内核模块,实现了交换功能 ovsdb-vswtich: openvswitch的数据库,给ovs-vswitchd提供运行配置信息,即保存了ovs-vswitchd的配置信息,例如vlan.port等信息 ovs-vsct

firewald

一 iptables 1 )三张表五条链 1 filter:input:通过路由表之后目的地为本机 output:由本机产生,向外转发 forward:通过路由表之后,目的地不为本机 2 nat:prerouting:数据包进入路由表之前 postrouting:数据包进入路由表之后 input output 3 mangle:prerouting,postrouting,input,output,forward 2 )配置 在配置iptables之前如果firewalld使开启的,要先stop

限制Root权限,Linux内核将引入安全锁定功能

经过多年以来的无数次审查.讨论和代码重写,Linus Torvalds 通过了一项 Linux 内核新的安全功能,它被称为“锁定”(lockdown). 这项新功能将作为 LSM(Linux Security Module,Linux 安全模块)包含在即将发布的 Linux kernel 5.4 中.由于存在破坏现有系统的风险,因此该功能是可选的,并非默认开启. 这一新的锁定功能主要是为了防止 root 帐户篡改内核代码,从而在用户态进程和代码之间划清界限.启用该功能后,即便是 root 帐户也

跟kernel相关的命令和几个内核参数

ldd命令:ldd命令用于打印程序或者库文件所依赖的共享库列表 ldd  programname 使用实例: [[email protected] ~]# ldd /bin/bash linux-vdso.so.1 =>  (0x00007fff38ddc000) libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00000030d0400000) libdl.so.2 => /lib64/libdl.so.2 (0x00000030c8400000) l

LINUX下ORACLE相关的内核参数详解

ORACLE相关的内核参数详解 1.kernel.sem [[email protected] ~]# cat /proc/sys/kernel/sem 250         32000    100         142 [[email protected] ~]#  ipcs -sl ------ Semaphore Limits -------- max number of arrays = 142 max semaphores per array = 250 max semaphor

TCP/IP及内核参数优化调优

Linux下TCP/IP及内核参数优化有多种方式,参数配置得当可以大大提高系统的性能,也可以根据特定场景进行专门的优化,如TIME_WAIT过高,DDOS攻击等等.如下配置是写在sysctl.conf中,可使用sysctl -p生效,相关参数仅供参考,具体数值还需要根据机器性能,应用场景等实际情况来做更细微调整. net.core.netdev_max_backlog = 400000#该参数决定了,网络设备接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目. net.c