基线要求
net.ipv4.conf.all.accept_source_route和net.ipv4.tcp_syncookies是两个与网络安全相关的内核参数:
-
net.ipv4.conf.all.accept_source_route:这个参数用来控制是否接受源路由信息。源路由是一种网络数据包的路由方式,其中数据包中包含有关其应当如何传输的路由信息。启用源路由可能会导致安全风险,因为攻击者可能利用源路由来欺骗网络设备或绕过安全措施。因此,通常建议将net.ipv4.conf.all.accept_source_route设置为0以禁用源路由。设置为0表示拒绝接收源路由数据包。 -
net.ipv4.tcp_syncookies:TCP SYN Cookies是一种机制,用于防范SYN洪水攻击。在网络上,当客户端尝试与服务器建立TCP连接时,会发送一个SYN同步请求给服务器。攻击者可以发送大量伪造的SYN请求导致服务器资源耗尽,无法接受新的连接。启用net.ipv4.tcp_syncookies参数会使系统在遭受SYN洪水攻击时使用一种机制,称为SYN Cookies,来保护自己。当系统检测到SYN队列已满或接收到大量伪造的SYN请求时,会启用SYN Cookies机制来处理连接请求,并避免资源耗尽。
打开syncookie缓解syn flood攻击
检测方法
执行以下命令查看参数tcp_syncookies的值。
#cat /proc/sys/net/ipv4/tcp_syncookies
判定依据
tcp_syncookies的值为1则合规,否则为不合规。
禁止IP源路由
检测方法
执行以下命令查看参数accept_source_route的值。
#cat /proc/sys/net/ipv4/conf/*/accept_source_route
判定依据
accept_source_route的值为0则合规,否则为不合规。
下面的脚本可以实现两个基线项的合规修改:
# 函数一:检查和修改net.ipv4.conf.all.accept_source_route配置
update_accept_source_route() {
if grep -q "net.ipv4.conf.all.accept_source_route" /etc/sysctl.conf; then
if ! grep -q "net.ipv4.conf.all.accept_source_route=0" /etc/sysctl.conf; then
sed -i 's/^net.ipv4.conf.all.accept_source_route.*/net.ipv4.conf.all.accept_source_route=0/g' /etc/sysctl.conf
echo "已将net.ipv4.conf.all.accept_source_route修改为0"
else
echo "net.ipv4.conf.all.accept_source_route已经配置为0"
fi
else
echo "net.ipv4.conf.all.accept_source_route=0" >> /etc/sysctl.conf
echo "已添加net.ipv4.conf.all.accept_source_route=0到/etc/sysctl.conf"
fi
}
# 函数二:检查和修改net.ipv4.tcp_syncookies配置
update_tcp_syncookies() {
if grep -q "net.ipv4.tcp_syncookies" /etc/sysctl.conf; then
if ! grep -q "net.ipv4.tcp_syncookies=1" /etc/sysctl.conf; then
sed -i 's/^net.ipv4.tcp_syncookies.*/net.ipv4.tcp_syncookies=1/g' /etc/sysctl.conf
echo "已将net.ipv4.tcp_syncookies修改为1"
else
echo "net.ipv4.tcp_syncookies已经配置为1"
fi
else
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf
echo "已添加net.ipv4.tcp_syncookies=1到/etc/sysctl.conf"
fi
}
# 调用函数一
update_accept_source_route
# 调用函数二
update_tcp_syncookies
# 使配置生效
sysctl -p
完整清单
#禁用包过滤功能
net.ipv4.ip_forward = 0
#启用源路由核查功能
net.ipv4.conf.default.rp_filter = 1
#禁用所有IP源路由
net.ipv4.conf.default.accept_source_route = 0
#使用sysrq组合键是了解系统目前运行情况,为安全起见设为0关闭
kernel.sysrq = 0
#控制core文件的文件名是否添加pid作为扩展
kernel.core_uses_pid = 1
#开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理
net.ipv4.tcp_syncookies = 1
#每个消息队列的大小(单位:字节)限制
kernel.msgmnb = 65536
#整个系统最大消息队列数量限制
kernel.msgmax = 65536
#单个共享内存段的大小(单位:字节)限制,计算公式64G*1024*1024*1024(字节)
kernel.shmmax = 68719476736
#所有内存大小(单位:页,1页 = 4Kb),计算公式16G*1024*1024*1024/4KB(页)
kernel.shmall = 4294967296
#timewait的数量,默认是180000
net.ipv4.tcp_max_tw_buckets = 6000
#开启有选择的应答
net.ipv4.tcp_sack = 1
#支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
net.ipv4.tcp_window_scaling = 1
#TCP读buffer
net.ipv4.tcp_rmem = 4096 131072 1048576
#TCP写buffer
net.ipv4.tcp_wmem = 4096 131072 1048576
#为TCP socket预留用于发送缓冲的内存默认值(单位:字节)
net.core.wmem_default = 8388608
#为TCP socket预留用于发送缓冲的内存最大值(单位:字节)
net.core.wmem_max = 16777216
#为TCP socket预留用于接收缓冲的内存默认值(单位:字节)
net.core.rmem_default = 8388608
#为TCP socket预留用于接收缓冲的内存最大值(单位:字节)
net.core.rmem_max = 16777216
#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 262144
#web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值
net.core.somaxconn = 262144
#系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。这个限制仅仅是为了防止简单的DoS攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)
net.ipv4.tcp_max_orphans = 3276800
#记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024,小内存的系统则是128
net.ipv4.tcp_max_syn_backlog = 262144
#时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉
net.ipv4.tcp_timestamps = 0
#为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量
net.ipv4.tcp_synack_retries = 1
#在内核放弃建立连接之前发送SYN包的数量
net.ipv4.tcp_syn_retries = 1
#开启TCP连接中time_wait sockets的快速回收
net.ipv4.tcp_tw_recycle = 1
#开启TCP连接复用功能,允许将time_wait sockets重新用于新的TCP连接(主要针对time_wait连接)
net.ipv4.tcp_tw_reuse = 1
#1st低于此值,TCP没有内存压力,2nd进入内存压力阶段,3rdTCP拒绝分配socket(单位:内存页)
net.ipv4.tcp_mem = 94500000 915000000 927000000
#如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接,甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180秒,你可以按这个设置,但要记住的是,即使你的机器是一个轻载的WEB服务器,也有因为大量的死套接字而内存溢出的风险,FIN- WAIT-2的危险性比FIN-WAIT-1要小,因为它最多只能吃掉1.5K内存,但是它们的生存期长些。
net.ipv4.tcp_fin_timeout = 15
#表示当keepalive起用的时候,TCP发送keepalive消息的频度(单位:秒)
net.ipv4.tcp_keepalive_time = 30
#对外连接端口范围
net.ipv4.ip_local_port_range = 2048 65000
#表示文件句柄的最大数量
fs.file-max = 102400
# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
# 开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1
# 开启并记录欺骗,源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# 处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# 开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
# 不充当路由器
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# 开启execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# IPv6设置
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1
# 优化LB使用的端口
# 增加系统文件描述符限制
fs.file-max = 65535
# 允许更多的PIDs (减少滚动翻转问题); may break some programs 32768
kernel.pid_max = 65536
# 增加系统IP端口限制
net.ipv4.ip_local_port_range = 2000 65000
# 增加TCP最大缓冲区大小
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
# 增加Linux自动调整TCP缓冲区限制
# 最小,默认和最大可使用的字节数
# 最大值不低于4MB,如果你使用非常高的BDP路径可以设置得更高
# Tcp窗口等
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_window_scaling = 1